II SA/Wa 2484/21

II SA/Wa 2484/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-04-20
orzeczenie nieprawomocne
Data wpływu
2021-07-07
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Iwona Maciejuk /sprawozdawca/
Karolina Kisielewicz /przewodniczący/
Michał Sułkowski
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 2019/22 - Wyrok NSA z 2025-06-18
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2019 poz 2325
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz, Sędzia WSA Iwona Maciejuk (spr.), Asesor WSA Michał Sułkowski, , Protokolant straszy referent Magdalena Frąckiewicz, po rozpoznaniu na rozprawie w dniu 20 kwietnia 2022 r. sprawy ze skargi I. Sp. z o.o. w likwidacji z siedzibą w W. na pkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] maja 2021 r.
nr [...], na podstawie art. 104 § 1, art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), zwanej dalej k.p.a., w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. fi art. 58 ust. 2 lit. b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. N. (poprzednio [...]) na nieprawidłowości w procesie przetwarzania jej danych osobowych przez I. Sp. z o.o. w likwidacji z siedzibą w W. polegające na udostępnieniu przez Spółkę danych osobowych wymienionej podmiotom nieuprawnionym, w punkcie 1. udzielił upomnienia I. Sp. z o.o. w likwidacji z siedzibą w W. za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu bez podstawy prawnej danych osobowych M. N. (poprzednio [...]) podmiotom nieuprawnionym; w punkcie 2. w pozostałym zakresie umorzył postępowanie.
W uzasadnieniu Prezes UODO wskazał, że ustalił następujący stan faktyczny: 1. Wnioskodawczyni w treści skargi wskazała, że Spółka bez jej wiedzy i zgody w dniach [...]-[...] marca 2020 r. udostępniła jej dane osobowe podmiotom nieuprawnionym, informując ją o tym za pośrednictwem smsów (z dnia [...] marca 2020 r.) i wiadomości e-mail (z dnia [...] marca 2020 r.). Wobec powyższego wnioskodawczyni zwróciła się z żądaniem usunięcia lub ograniczenia przetwarzania jej danych osobowych w bazy danych Spółki 2. Jak wyjaśniła Spółka cyt.: "(...) Wobec wskazania przez Urząd dodatkowych danych, tzn. adresu e-mail i nr telefonu Skarżącej, byliśmy w stanie zweryfikować, że Skarżąca nie dokończyła procesu rejestracji na prowadzonym przez Spółkę portalu [...], zatem jej profil nie został założony. W związku z żądaniem usunięcia danych, w dniu [...] kwietnia poinformowaliśmy Skarżącą, iż jej dane zostały usunięte z bazy [...] (...)". Jednocześnie Spółka wskazała, że cyt.: "(...) Aktualnie przetwarzamy dane Skarżącej jedynie na potrzeby toczącego się postępowania - w celu realizacji obowiązków prawnych oraz obrony roszczeń, na podstawie art. 6 ust. 1 lit. c i f RODO (...)". 3. Jak wskazała Spółka udostępniła ona dane osobowe wnioskodawczyni podmiotom współpracującym ze Spółką, na podstawie zawartych w trybie art. 28 RODO umów powierzenia przetwarzania danych osobowych z I. Sp. z o. o. z siedzibą w M. na [...], dalej jako I. - podmiotowi należącemu do tej samej grupy kapitałowej co Spółka, odpowiedzialnej m.in. za obsługę strony internetowej [...], w tym aplikacji służącej do składania wniosków o pożyczkę oraz systemu obsługi klienta ([...]) oraz G. S.A. z siedzibą w L. —podmiotowi, od którego Spółka dzierżawi wirtualną powierzchnię dyskową (serwery). Spółka wskazała, że w efekcie zdarzenia będącego przedmiotem skargi, dostęp do bazy danych, w której znajdowały się dane wnioskodawczyni, uzyskał nieznany Spółce podmiot trzeci. 4, Spółka wyjaśniła, że poinformowała wnioskodawczynię o nieprawidłowościach będących przedmiotem skargi poprzez przesłanie do niej wiadomości SMS oraz wiadomości e-mail w dniu [...] marca 2020 r,. wiadomością SMS z dodatkowymi informacjami o zmianie hasła wysłaną w dniu [...] marca 2020 r., poprzez zamieszczenie w dniu [...] marca 2020 r., informacji na stronie internetowej Spółki [...] w zakładce "[...]"; poprzez zamieszczenie w dniu [...] marca 2020 r. informacji na stronie internetowej Spółki [...] w zakładce "[...]". 5. Spółka wskazała, iż podmiotem, którego pracownik popełnił błąd skutkujący naruszeniem ochrony danych, jest I.
Prezes UODO, mając na uwadze ten stan faktyczny, wskazał, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Organ wskazał, że na administratorze danych osobowych, którym w rozumieniu art. 4 pkt 7 RODO jest Spółka, ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności obowiązek zapewnienia by przetwarzanie odbywało się na podstawie co najmniej jednej z enumeratywnie wymienionych przesłanek art. 6 ust. 1 RODO. Organ wskazał też, że art. 5 ust. 1 lit. f RODO nakłada na administratora danych obowiązek przetwarzania danych osobowych zgodnie z zasadą integralności
i poufności. Oznacza to, że administrator powinien zapewnić odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym
lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem
lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Podał, że zgodnie z art. 28 ust. 1 RODO to na administratorze spoczywa obowiązek wyboru takiego podmiotu przetwarzającego który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ww. rozporządzenia i chroniło prawa osób, których dane dotyczą.
Organ stwierdził, że zebrany w sprawie materiał dowodowy wykazał,
iż wnioskodawczyni otrzymała od Spółki zarówno wiadomości SMS, w przedmiocie automatycznej zmiany hasła wynikającego ze względów bezpieczeństwa, jak i również wiadomość email z dnia [...] marca 2020 r., informującą wnioskodawczynię o tym,
iż jej dane osobowe zapisane na koncie użytkownika założonego za pośrednictwem strony internetowej www. [...] zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu Spółka powierzyła przetwarzanie jej danych osobowych. Spółka w ww. wiadomości email wskazała również, iż błąd ten polegał na braku zabezpieczenia danych osobowych wnioskodawczyni w okresie od dnia [...]-[...] marca 2020 r. przez podmiot współpracujący ze Spółką w zakresie imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-maił, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-maił osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...].
Prezes UODO stwierdził, że w zakresie powyższego udostępnienia nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych określonych w art. 6 ust. 1 RODO. Ustalone powyżej okoliczności potwierdzają
w ocenie organu, że w przedmiotowej sprawie doszło do udostępnienia danych osobowych wnioskodawczyni na rzecz nieznanego nieuprawnionego odbiorcy, co nie znajdowało oparcia w żadnej z przesłanek legalizujących proces przetwarzania danych osobowych, wyrażonych w art. 6 ust. 1 RODO.
Niezależnie od powyższego, organ wskazał również, że w niniejszym postępowaniu zainicjowanym indywidualną skargą organ właściwy do spraw ochrony danych osobowych może dokonać wyłącznie oceny legalności przetwarzania danych. Natomiast ogólne, stosowane przez administratora danych w procesach ich przetwarzania praktyki, w tym sposoby zabezpieczeń, jak również ich adekwatność oraz skuteczność mogą być jedynie przedmiotem postępowania wszczętego przez organ
z urzędu. Powołał się na wyrok WSA w Warszawie z dnia 7 stycznia 2016 r. sygn. akt II SA/Wa 1238/15. Organ zaznaczył, że skarga do Prezesa UODO nie służy dokonywaniu kontroli zabezpieczenia danych na wniosek osoby, której dane dotyczą. Funkcją skargi jest egzekwowanie przestrzegania przepisów o ochronie danych osobowych
w operacjach przetwarzania danych, które bezpośrednio wpływają na osobę, której przetwarzane dane dotyczą. Ocena prawidłowości zabezpieczeń następuje zatem wyłącznie w postępowaniu wszczętym przez organ z urzędu. Przyjęcie przeciwnego stanowiska oznaczałoby de facto możliwość zapoznania się przez wnioskodawcę,
w ramach postępowania przed organem, ze sposobem zabezpieczenia danych (w tym danych innych osób) przez administratora danych osobowych, co samo w sobie zmniejsza poziom ochrony danych oraz może zwiększyć ryzyko naruszenia ochrony danych osobowych. Postępowanie prowadzone przez Prezesa UODO nie jest zatem ukierunkowane na pozyskanie informacji na temat stosowanych przez administratora danych zabezpieczeń oraz na przekazanie tychże informacji na rzecz osób fizycznych, zainteresowanych sprawą.
Organ wskazał, że na podstawie art. 58 ust. 2 RODO przysługują mu uprawnienia naprawcze, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b). Mając powyższe na uwadze. Prezes Urzędu uznał, że w realiach niniejszej sprawy, z uwagi na charakter przedmiotowego udostępnienia, właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f, gdyż przetwarzanie danych osobowych wnioskodawczyni, polegające na udostępnieniu w dniach 3-14 marca 2020 roku danych osobowych wnioskodawczyni na rzecz nieznanej i nieuprawnionej osoby stanowiło naruszenie norm z zakresu ochrony danych osobowych.
Jednocześnie organ przywołał art. 105 § 1 k.p.a. i wskazał, że zaistniała przesłanka bezprzedmiotowości postępowania i umorzenia w oparciu o ten przepis. Podał, że jak wynika ze zgromadzonego w sprawie materiału dowodowego, wobec trwałego usunięcia danych osobowych wnioskodawczyni przez Spółkę oraz braku możliwości udzielenia wyjaśnień w zakresie legalności przetwarzania danych osobowych wnioskodawczyni organ ochrony danych osobowych nie jest w stanie zbadać ww. procesu przetwarzania jej danych osobowych. Wobec powyższego uznał, że zaistniała przesłanka bezprzedmiotowości postępowania administracyjnego.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2021 r.
nr [...] w zakresie jej punktu 1 stała się przedmiotem skargi I. Sp. z o.o. w likwidacji z siedzibą w W., reprezentowanej przez adwokata, do Wojewódzkiego Sądu Administracyjnego
w Warszawie. Pełnomocnik wnosząc o uchylenie punktu 1 zaskarżonej decyzji
i zasądzenie zwrotu kosztów postępowania według norm przepisanych zarzucił:
1) naruszenie przepisów prawa materialnego, mające istotny wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnym przyjęciu, że art. 6 ust 1 RODO miał w niniejszej sprawie zastosowanie w zakresie podstawy prawnej udostępnienia danych, podczas gdy incydent polegający na cyberataku na bazę danych oraz uzyskanie dostępu do niej przez nieznaną osobę trzecią nie oznacza, że Skarżąca udostępniła dane osobowe na rzecz nieznanej osoby trzeciej.
2) naruszenie przepisów prawa materialnego, mające wpływ na wynik sprawy, tj. art. 6 ust. 1 oraz art. 5 ust. 1 lit. f RODO, polegające na błędnym przyjęciu, że ważność podstawy prawnej przetwarzania danych zależy od odpowiedniego zabezpieczenia danych osobowych, podczas gdy zasada zgodności z prawem (art. 5 ust. 1 lit. a RODO) jest niezależna od zasady integralności i poufności (art. 5 ust. 1 lit. f RODO), zaś ewentualne naruszenie wymogów bezpieczeństwa, np. art. 32 RODO nie oznacza automatycznie, że dane były przetwarzane bez ważnej podstawy prawnej.
3) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 k.p.a. polegające na braku zgromadzenia materiału dowodowego pozwalającego uznać naruszenie zasady integralności i poufności oraz niezgodne z prawem przetwarzanie danych osobowych przez Skarżącą za udowodnione.
4) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 8 ust. 1 i 2, art. 77 § 1 i 4 i art. 110 § 1 k.p.a. poprzez całkowity brak uwzględnienia znanego z urzędu faktu, że działanie Skarżącej będące w istocie przedmiotem skargi M. N. (poprzednio [...]) do Prezesa UODO, tzn. rzekome nieadekwatne zabezpieczenie przez Skarżącą bazy danych osobowych użytkowników portalu [...], było już przedmiotem decyzji Prezesa UODO z dnia [...] grudnia 2020 r., sygn. akt [...], do którego to postępowania Skarżąca odwoływała się w swoich pismach procesowych (sprawa na etapie WSA w Warszawie, sygn. II SA/Wa 528/21), jak również jest przedmiotem szeregu podobnych postępowań w sprawach indywidualnych, co prowadzi do wielokrotnej oceny tego działania
lub zaniechania, wielokrotnego nakładania sankcji w rożnych postępowaniach, jak również wprowadzenie do obrotu prawnego sytuacji, w których jeden i ten sam incydent w części spraw jest uznany za naruszenie przez Skarżącą przepisów prawa, a w innych nie.
W uzasadnieniu pełnomocnik rozszerzył argumentację w zakresie podniesionych zarzutów. Wskazał m.in., że udostępnianie danych osobowych jest z definicji działaniem aktywnym, tzn. polega na czynnym umożliwieniu dostępu do danych osobowych na rzecz odbiorcy. O nieuprawnionym udostępnieniu danych osobowych, można byłoby mówić, gdyby Skarżąca aktywnie przesłała dane osobowe będące przedmiotem postępowania stronom trzecim, nie posiadając w tym zakresie ważnej podstawy prawnej. Podobnie, nie można mówić o nieuprawnionym ujawnieniu danych osobowych przez Skarżącą.
Zdaniem pełnomocnika zdarzenie ocenione przez Prezesa UODO jako naruszenie art. 6 ust. 1 RODO (tzn. uzyskanie przez nieznaną osobę nieuprawnionego dostępu do bazy danych użytkowników portalu [...] w drodze cyberataku)
nie stanowiło przetwarzania danych osobowych przez Skarżącą, a zatem art. 6 ust. 1 RODO w ogóle nie miał w tej sprawie zastosowania. Podał, że istnieje zasadnicza różnica między udostępnieniem danych osobowych bez podstawy prawnej (przez Skarżącą), a nieuprawnionym dostępem do danych osobowych (przez cyberprzestępców) - w niniejszej sprawie miał miejsce ten drugi przypadek. Pełnomocnik podniósł, że zdarzenie ocenione przez Prezesa UODO jako naruszenie art. 6 ust. 1 RODO stanowiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego dostępu do danych osobowych, a zatem należało je zakwalifikować jako naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Z tej perspektywy Prezes UODO mógł co najwyżej, zdaniem pełnomocnika, rozważyć poziom zabezpieczenia danych osobowych w świetle art. 5 ust. 1 lit. f lub art. 32 RODO, nie zaś oceniać podstawy prawne przetwarzania danych osobowych. Z kolei jak sam Prezes UODO wskazał w swojej decyzji, "(...) sposoby zabezpieczeń, jak również ich adekwatność oraz skuteczność mogą być jedynie przedmiotem postępowania wszczętego przez organ z urzędu''.
Pełnomocnik wskazał też m.in., że Prezes UODO nie uzasadnił w swojej decyzji, dlaczego jego zdaniem istnieje możliwość zastosowania art. 6 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f RODO. Ewentualny brak ważnych podstaw prawnych przetwarzania danych osobowych w rozumieniu art. 6 lub art. 9 RODO może skutkować co najwyżej naruszeniem zasady zgodności z prawem, tzn. art. 5 ust. 1 lit. a RODO. Nie ma
to żadnego związku z zasadą integralności i poufności - jej naruszenie można stwierdzić w powiązaniu z art. 32 RODO, który ustanawia obowiązek stosowania odpowiednich środków bezpieczeństwa.
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując stanowisko zawarte w zaskarżonej decyzji. Organ odniósł
się do zarzutów skargi. Wskazał m.in., że w niniejszym postępowaniu organ ochrony danych osobowych rozpatrywał indywidualną skargę M. N. (poprzednio [...]), zaś zebrany w sprawie materiał dowodowy odnosił się wyłącznie do okoliczności związanych z nieprawidłowościami w procesie przetwarzania danych osobowych ww. Skarżącej. Postępowanie zaś o sygn. akt [...] było postępowaniem wszczętym z urzędu, w wyniku zgłoszenia przez Spółkę do Prezesa Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych klientów Spółki, zatem wyłącznie Spółka mogła być stroną takiego postępowania. Organ przywołał art. 77 ust. 1 RODO. Postępowanie administracyjne zainicjowane skargą osoby, której dane dotyczą jest odrębnym postępowaniem, wynikającym
z ustanowionego w art. 77 ust. 1 RODO prawa osoby, której dane dotyczą.
W postępowaniu takim badany jest wyłącznie skarżony proces przetwarzania danych osoby, która złożyła skargę. Zgłoszenie przez Spółkę do Prezesa Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych klientów Spółki,
nie wyłącza wbrew temu, co twierdzi Spółka, prawa osoby, której dane dotyczą do wniesienia skargi, o której mowa w art. 77 ust. 1 RODO. Wskazać należy,
że postępowanie dotyczące zgłoszenia przez administratora naruszenia ochrony danych osobowych nie jest zatem tożsame z postępowaniem prowadzonym w wyniku wniesienia do organu nadzorczego skargi przez osobę, której dane dotyczą. Postępowania określone powyżej regulowane są w odrębnych przepisach RODO
i różnią się przedmiotem postępowania. Organ podniósł m.in., że sama Spółka wskazuje na różnice pomiędzy powyższymi postępowaniami i fakt, że w sprawie
o sygnaturze [...] badane były zabezpieczenia stosowane przez Spółkę w procesie przetwarzania danych osobowych, natomiast w niniejszym postępowaniu, co jednoznacznie wynika także z treści decyzji, powyższe nie miało
(i nie mogło mieć) miejsca.
W piśmie procesowym z dnia 5 października 2021 r. pełnomocnik skarżącej podniósł, że w postępowaniu głównym, dotyczącym tego samego naruszenia ochrony danych osobowych, do którego Skarżąca odnosiła się w skardze z dnia 1 czerwca
2021 r. i zarazem jedynym, w którym Prezes UODO analizował stosowane przez Spółkę środki bezpieczeństwa, toczącym się pod sygnaturą UODO [...], decyzja Prezesa UODO z dnia [...] grudnia 2020 r. stwierdzająca naruszenie po stronie Skarżącej i nakładająca na nią karę finansową, została wskutek zaskarżenia przez Skarżącą uchylona wyrokiem WSA w Warszawie z dnia 5 października 2021 r. sygn. akt II SA/Wa 528/21, na dzień sporządzenia niniejszego pisma, wyrok ten nie jest prawomocny.
W piśmie procesowym z dnia 10 sierpnia 2021 r. pełnomocnik uczestnika postępowania wniósł o oddalenie skargi, podzielając argumentację organu zawartą w odpowiedzi na skargę.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga nie podlegała uwzględnieniu.
Zaskarżona w zakresie punktu 1 decyzja Prezesa UODO nie narusza przepisów postępowania, w tym powołanych w skardze przepisów art. 6, art. 7, art. 8, art. 77 § 1, § 4, art. 80, jak również art. 110 § 1 k.p.a. Organ w sposób wyczerpujący i wystarczający dla rozstrzygnięcia niniejszej sprawy (zainicjowanej wnioskiem M. N. (poprzednio [...]) zebrał niezbędny materiał dowodowy. Dokonana przez organ ocena tego materiału dowodowego nie była dowolna. Także uzasadnienie zaskarżonej decyzji spełnia wymogi art. 107 § 3 k.p.a. i nie pozostawia wątpliwości dlaczego organ rozstrzygnął sprawę w punkcie 1 decyzji w sposób w nim określony. Sąd nie stwierdził w tej sprawie również naruszenia przepisu art. 6 ust. 1 RODO, który to przepis organ prawidłowo zastosował, zasadnie kwalifikując ujawnienie jako udostępnienie bez podstawy prawnej danych osobowych M. N. (poprzednio [...]) podmiotom nieuprawnionym, dające podstawę do udzielenia upomnienia.
W sprawie jest bezsporne, że M. N. otrzymała od Skarżącej Spółki zarówno wiadomości SMS, w przedmiocie automatycznej zmiany hasła wynikającego ze względów bezpieczeństwa, jak również wiadomość email z dnia [...] marca 2020 r., informującą wnioskodawczynię o tym, że jej dane osobowe zapisane na koncie użytkownika założonego za pośrednictwem strony internetowej www. [...] zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu Spółka powierzyła przetwarzanie jej danych osobowych. Spółka w ww. wiadomości email wskazała, jak wskazał w decyzji Prezes UODO, na czym polegał błąd i o jaki zakres danych osobowych wnioskodawczyni w sprawie chodzi.
W stanie faktycznym tej sprawy nie ma wątpliwości co do tego, że nastąpiło ujawnienie danych osobowych M. N. osobie trzeciej.
Wbrew twierdzeniom skargi złożonej do Sądu, ujawnienie danych osobowych konkretnej osoby fizycznej podmiotowi trzeciemu zasadnie potraktowane zostało przez Prezesa UODO jak udostępnienie danych osobowych w rozumieniu RODO. Trafnie Prezes UODO potraktował to ujawnienie danych osobowych wnioskodawczyni jako jeden z rodzajów "operacji" wykonywanych na danych osobowych.
Zgodnie bowiem z art. 4 pkt 2 RODO, "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Ujawnienie danych osobowych może mieć miejsce nie tylko poprzez zaplanowane działanie administratora, tj. zamierzone i zgodne z prawem przesłanie danych osobowych do innego podmiotu, ale również poprzez innego rodzaju
ich udostępnienie.
Ujawnienie (udostępnienie) danych osobowych, takie jak miało miejsce w odniesieniu do danych osobowych wnioskodawczyni, stanowi przetwarzanie danych
w rozumieniu RODO. Argumentacja skargi stanowiąca próbę wykazania, że ujawnienie danych osobowych M. N., o którym mowa w zaskarżonej decyzji, nie stanowi ich udostępnienia, nie jest trafna na gruncie przepisów RODO.
W świetle powyższego wskazania wymaga, że aby można było mówić o zgodnym z prawem przetwarzaniu danych osobowych, w tym ich zbieraniu, przechowywaniu, ale także właśnie udostępnianiu (ujawnianiu), konieczne jest legitymowanie się przez administratora jedną z przesłanek legalizujących proces przetwarzania, o których mowa w art. 6 ust. 1 RODO.
Zgodnie z powołanym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Trafnie Prezes UODO wskazał w decyzji, że ustalone w sprawie okoliczności faktyczne potwierdzają, iż w sprawie doszło do udostępnienia danych osobowych M. N. na rzecz nieznanego nieuprawnionego odbiorcy, co nie znajdowało oparcia w żadnej z przesłanek legalizujących proces przetwarzania danych osobowych, określonych w art. 6 ust. 1 RODO.
Odnosząc się do zarzutów skargi Spółki podkreślenia wymaga jednocześnie, że sprawa niniejsza nie dotyczy stosowanych przez skarżącą Spółkę sposobów zabezpieczeń danych osobowych i ich skuteczności. Postępowanie prowadzone przez Prezesa UODO w niniejszej sprawie dotyczyło wyłącznie oceny zgodności z prawem przetwarzania (ujawnienia) danych osobowych M. N. podmiotowi nieuprawnionemu i z jej inicjatywy (na jej wniosek) postępowanie to było prowadzone.
Wbrew twierdzeniom skargi, zaskarżona do Sądu decyzja z dnia [...] maja 2021 r. nie rozstrzyga sprawy już poprzednio rozstrzygniętej inną decyzją administracyjną, tj. decyzją z dnia [...] grudnia 2020 r., na którą to decyzję powołuje się Spółka. Sądowi z urzędu znany jest wyrok WSA w Warszawie z dnia 5 października 2021 r. sygn. akt II SA/Wa 528/21 (nieprawomocny).
Podnieść jednocześnie należy, że za nietrafne Sąd uznał powołanie się przez organ w zaskarżonej decyzji z dnia [...] maja 2021 r. na art. 5 ust. 1 lit f RODO, albowiem kwestia oceny bezpieczeństwa danych, w tym ich ochrony, w aspekcie, o jakim mowa w tym przepisie nie była przedmiotem niniejszej sprawy. Jednakże to błędne powołanie się na art. 5 ust. 1 lit f w zaskarżonej decyzji nie waży na wyniku sprawy, jak również nie daje podstaw do stwierdzenia, iż organ wielokrotnie stosuje sankcję za jedno naruszenie.
Stwierdzenie organu w decyzji, że nastąpiło naruszenie RODO (w tym przypadku art. 6 ust. 1 RODO) polegające na udostępnieniu bez podstawy prawnej danych osobowych M. N. podmiotom nieuprawnionym jest – w stanie faktycznym tej sprawy – trafne i wystarczające do zastosowania art. 58 ust. 2 lit. b RODO. Ustalenie naruszenia art. 6 ust. 1 RODO pozostaje w związku z zasadą wyrażoną w art. 5 ust. 1 lit. a RODO, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem, (...). Okoliczność niepowołania przez organ art. 5 ust. 1 lit. a RODO, a błędnego powołania art. 5 ust. 1 lit. f RODO nie daje podstaw do wyeliminowania zaskarżonej decyzji z obrotu prawnego.
Zwrócić trzeba uwagę, że innym postępowaniem jest postępowanie, w ramach którego dokonywana jest np. ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne) czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez organ indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych z przepisami RODO.
Zgodnie z art. 77 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
M. N. miała prawo wystąpić do Prezesa UODO z indywidualną skargą podnosząc kwestię niezgodnego z przepisami RODO przetwarzania (tj. ujawnienia podmiotom nieuprawnionym) jej danych osobowych przez administratora.
Zasadnie Prezes UODO prowadził zatem to postępowanie i rozstrzygnął je decyzją udzielając w punkcie 1 upomnienia Skarżącej Spółce za naruszenie RODO polegające na udostępnieniu bez podstawy prawnej danych osobowych M. N. podmiotom nieuprawnionym. Zastosowanie przez Prezesa UODO art. 58 ust. 2 lit b) RODO, tj. udzielenie Spółce upomnienia wobec stwierdzonego naruszenia przepisów RODO przez operację przetwarzania (ujawnienia, udostępnienia) danych nie narusza prawa. Raz jeszcze wskazania wymaga, że sprawa niniejsza nie rozstrzygała o stosowanych środkach technicznych i organizacyjnych w zakresie bezpieczeństwa danych. Osoba fizyczna, której dane zostały ujawnione miała prawo domagać się od Prezesa UODO rozpatrzenia jej sprawy i stwierdzenia naruszenia przepisów RODO w zakresie przetwarzania jej danych osobowych.
Z tych względów, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329), orzekł jak w wyroku.