II SA/Wa 3542/21

II SA/Wa 3542/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-06-21
orzeczenie nieprawomocne
Data wpływu
2021-10-12
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Joanna Kruszewska-Grońska /przewodniczący/
Joanna Kube
Waldemar Śledzik /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 2192/22 - Wyrok NSA z 2025-06-18
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Joanna Kube, Sędzia WSA Waldemar Śledzik (spr.), Protokolant referent stażysta Beata Kowalska, po rozpoznaniu na rozprawie w dniu 21 czerwca 2022 r. sprawy ze skargi [...] Sp. z o.o. w likwidacji z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
S. S. (dalej również: "Wnioskodawca"; "uczestnik postępowania") w piśmie z dnia [...] sierpnia 2020 r. wniósł do Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes PUODO", "Organ") skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...] (dalej: "[...]", "Spółka", "Skarżąca"). S. S. podał, że pomiędzy [...] a [...] marca 2020 r. za sprawą błędu pracownika firmy współpracującej z [...] zostały ujawnione jego dane osobowe. S. S. oświadczył, że nie uzyskał od ww. firmy żadnych wyjaśnień oraz zadośćuczynienia. W związku
z powyższym wniósł o interwencję w sprawie i poinformowanie jakie dane i jakim osobom trzecim zostały udostępnione.
W pismach z dnia [...] października 2020 r., z dnia [...] grudnia 2020 r. i z dnia
[...] stycznia 2021 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a i e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej "RODO"), zwrócił się do [...] o złożenie wyjaśnień i dostarczenie informacji w sprawie skargi S. S. na nieprawidłowości w procesie przetwarzania jego danych osobowych.
W pismach z dnia [...] listopada 2020 r. i z dnia [...] grudnia 2020 r., z dnia
[...] stycznia 2021 r. Spółka wyjaśniła, że dane osobowe S. S. przetwarza od dnia [...] lipca 2018 r. tj. od dnia, w którym Wnioskodawca dokonał rejestracji na stronie internetowej [...] oraz zawarł ze Spółką ramową umowę pożyczki. Wskazała, że przetwarzała jego dane (imię, nazwisko, nr PESEL, serię i nr dokumentu tożsamości, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres zamieszkania/korespondencyjny, adres zameldowania, adres e-mail, numer telefonu komórkowego, numer telefonu pracodawcy, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródła przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...]), na podstawie art. 6 ust. 1 lit a, b, c, f rozporządzenia RODO. Spółka podała, że faktycznie nie prowadzi działalności gospodarczej, "całkowicie" usunęła profil Wnioskodawcy jako klienta [...] i obecnie przetwarza jego dane osobowe wyłącznie w celach rachunkowych i podatkowych, a także w zakresie niezbędnym do realizacji obowiązków prawnych lub obrony roszczeń, na podstawie art. 6 ust. 1 lit c i f RODO.
[...] dodała, że podmiotem, który popełnił błąd skutkujący naruszeniem ochrony danych osobowych jest [...] sp. z o.o. w [...] na [...], z którą w dniu [...] marca 2018 r. zawarła umowę powierzenia przetwarzania danych osobowych. Incydent naruszenia ochrony danych osobowych był przedmiotem postępowania toczącego się przed Prezesem UODO wszczętego z urzędu (sygn. [...]) zakończonego decyzją z dnia [...] grudnia 2020 r. W zakresie okoliczności dotyczących naruszenia objętego skargą S. S. odwołała się do ustaleń poczynionych w tym postępowaniu.
Spółka wyjaśniła również, że poinformowała Wnioskodawcę
o nieprawidłowościach będących przedmiotem skargi, wysłanymi w dniach
[...],[...] i [...] marca 2020 r. wiadomościami SMS i e-mail o zresetowaniu i zmianie hasła do [...], a także wysłaną w dniu [...] marca 2020 r. wiadomością e-mail, w której m. in. wymieniła dane osobowe objętych nieuprawnionym udostępnieniem, zawarła odpis przewidywanych konsekwencji i zagrożeń związanych z ujawnieniem danych osobowych oraz środków proponowanych w celu minimalizacji negatywnych skutków związanych z naruszeniem; opis kroków podjętych w celu zaradzenia naruszeniu danych osobowych; informację o możliwości uzyskania dalszych informacji oraz informację o zgłoszeniu naruszenia danych osobowych Prezesowi UODO.
[...] podała ponadto, że w dniu [...] marca 2020 r. zamieściła na swojej stronie internetowej dwa oświadczenia na temat bezpieczeństwa danych osobowych.
W pierwszym z nich zawarła informację o przeprowadzonej w dniu [...] marca 2020 r., automatycznej zmianie haseł z uwagi na podejrzenie możliwości nieuprawnionego dostępu do części bazy danych. W drugim oświadczeniu poinformowała natomiast, że na skutek błędu podmiotu trzeciego współpracującego ze Spółką, osoba trzecia uzyskała nieuprawniony dostęp do danych osobowych części użytkowników portalu [...] oraz że podjęła natychmiastowe działania celem zabezpieczenia danych, zidentyfikowała przyczynę incydentu oraz ją niezwłocznie usunęła.
W tych okolicznościach faktycznych i prawnych Prezes UODO decyzją z dnia
[...] marca 2021 r. nr [...] wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2020 r., poz. 256 ze zm., dalej: "K.p.a.") w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 256) oraz na podstawie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f i art. 58 ust. 2 lit. b RODO, udzielił [...] upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych S. S. podmiotom nieuprawnionym.
W uzasadnieniu decyzji Prezes UODO podał, że przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Na administratorze danych osobowych, którym w rozumieniu art. 4 pkt 7 RODO jest [...], ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami,
a w szczególności obowiązek zapewnienia, by przetwarzanie odbywało się na podstawie co najmniej jednej z przesłanek enumeratywnie wymienionych w art. 6 ust. 1 RODO.
Prezes UODO wskazał również, że art. 5 ust. 1 lit. f RODO nakłada na administratora danych osobowych obowiązek przetwarzania danych osobowych
w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Organ podniósł także, że zgodnie z art. 28 ust. 1 RODO to na administratorze spoczywa obowiązek wyboru takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych
i organizacyjnych, by przetwarzanie spełniało wymogi integralności i poufności oraz chroniło prawa osób, których dane dotyczą.
Prezes UODO stwierdził, że [...] w złożonych wyjaśnieniach przyznała, że w wyniku błędu pracownika [...], z którym Spółka zawarła umowę powierzenia przetwarzania danych osobowych, polegającego na braku zabezpieczenia w dniach [...] -[...] marca 2020 r. danych osobowych S. S., doszło do udostępnienia jego danych osobowych osobie nieuprawnionej w zakresie: imienia, nazwiska, numeru PESEL, serii i numeru dokumentu tożsamości, NIP, obywatelstwa, miejsca urodzenia, numeru rachunku bankowego, adresu korespondencyjnego, adresu zameldowania, adresu e-mail, numeru telefonu stacjonarnego, numeru telefonu komórkowego, poprzedniego numer telefonu komórkowego (jeśli uległ zmianie), numeru telefonu pracodawcy, adresu e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwy pracodawcy, zatrudnienia (rodzaju umowy), przychodu miesięcznego netto, źródła przychodu, ilości osób pozostających na utrzymaniu, stanu cywilnego, wykształcenia, hasła do profilu klienta na [...]. W zakresie powyższego udostępnienia nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych określonych w art. 6 ust. 1 RODO.
Prezes UODO podkreślił także, że w postępowaniu zainicjowanym indywidualną skargą, może dokonać wyłącznie oceny legalności przetwarzania danych i w przypadku stwierdzenia nieprawidłowości w procesie przetwarzania danych - w celu przywrócenia stanu zgodnego z prawem - zastosować uprawnienia naprawcze, o których mowa w art. 58 ust. 2 RODO, w tym udzielić upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania (lit. b).
Organ wskazał ponadto, że stosowane przez administratora danych w procesach ich przetwarzania praktyki, w tym sposoby zabezpieczeń, ich adekwatność oraz skuteczność mogą być natomiast przedmiotem postępowania wszczętego z urzędu.
W konkluzji Prezes UODO stwierdził, że przetwarzanie danych osobowych Wnioskodawcy, polegające na ich udostępnieniu w dniach [...] - [...] marca 2020 r. na rzecz nieznanej i nieuprawnionej osoby, stanowiło naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, co uzasadnia zastosowanie wobec [...] upomnienia, o którym mowa w art. 58 ust. 2 lit. b RODO.
[...] złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa UODO z dnia [...] marca 2021 r.
Spółka zarzuciła naruszenie:
1. przepisów prawa materialnego, mające istotny wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnym przyjęciu, że art. 6 ust. 1 RODO miał w sprawie zastosowanie w zakresie podstawy prawnej udostępnienia danych, podczas gdy incydent polegający na cyberataku na bazę danych oraz uzyskanie dostępu do niej przez nieznaną osobę trzecią nie oznacza, że skarżąca udostępniła dane osobowe na rzecz nieznanej osoby trzeciej;
2. przepisów prawa materialnego, mające wpływ na wynik sprawy, tj. art. 6 ust. 1 oraz art. 5 ust. 1 lit. f RODO, polegające na błędnym przyjęciu, że ważność podstawy prawnej przetwarzania danych zależy od odpowiedniego zabezpieczenia danych osobowych, podczas gdy zasada zgodności z prawem (art. 5 ust. 1 lit. a RODO) jest niezależna od zasady integralności i poufności (art. 5 ust. 1 lit. f RODO), zaś ewentualne naruszenie wymogów bezpieczeństwa, np. art. 32 RODO nie oznacza automatycznie, że dane były przetwarzane bez ważnej podstawy prawnej;
3. przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 K.p.a., polegające na braku zgromadzenia materiału dowodowego pozwalającego uznać naruszenie zasady integralności i poufności oraz niezgodne z prawem przetwarzanie danych osobowych przez Skarżącą za udowodnione;
4. przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 8 ust. 1 i 2, art. 77 § 1 i § 4 i art. 110 § 1 K.p.a. poprzez całkowity brak uwzględnienia znanego
z urzędu faktu, że działanie Spółki będące w istocie przedmiotem skargi S. S. do Prezesa UODO, tzn. rzekome nieadekwatne zabezpieczenie przez Skarżącą bazy danych osobowych użytkowników portalu [...], było już przedmiotem decyzji Prezesa UODO z dnia [...] grudnia 2020 r.(nr [...]), do którego to postępowania Skarżąca odwoływała się w swoich pismach procesowych, jak również jest przedmiotem szeregu podobnych postępowań w sprawach indywidualnych, co prowadzi do wielokrotnej oceny tego działania lub zaniechania, wielokrotnego nakładania sankcji w różnych postępowaniach, jak również wprowadzenie do obrotu prawnego sytuacji, w których jeden i ten sam incydent w części spraw jest uznany za naruszenie przez Skarżącą przepisów prawa, a w innych nie.
[...] wniosła o uchylenie zaskarżonej decyzji oraz zasądzenie od Prezesa UODO kosztów postępowania według norm przepisanych.
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie z przyczyn wywiedzionych w zaskarżonej decyzji.
W piśmie procesowym z dnia [...] listopada 2021 r. stanowiącym replikę na odpowiedź na skargę pełnomocnik Skarżącej podtrzymał skargę.
Wskazał m.in., że przedmiotem niniejszego postępowania i złożonej przez Spółkę skargi jest decyzja Prezesa UODO, w treści której zostało wskazane, że w toku postępowania nie dokonano zbadania środków bezpieczeństwa stosowanych przez Skarżącą. Jeżeli zatem nie dokonano oceny adekwatności zastosowanych przez Skarżącą środków technicznych i organizacyjnych mających na celu ochronę przetwarzanych przez nią danych osobowych, nie można uznać, że zgromadzony materiał dowodowy jest wystarczający do stwierdzenia naruszenia zasady integralności i poufności, wyrażonej w art. 5 ust. 1 lit. f RODO.
Pełnomocnik podtrzymał także podniesiony w skardze zarzut niewłaściwego zastosowania art. 6 ust. 1 RODO, jako niemającego zastosowania w niniejszej sprawie. Odnosząc się do argumentacji Prezesa UODO wskazał, iż nieuprawniony dostęp do danych osobowych stanowi naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, a nie przetwarzanie danych przez administratora w rozumieniu art. 4 pkt 2 RODO.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Na wstępie Sąd wyjaśnia, że w związku ze zmianą art. 15 zzs4 ust. 2 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2020 r., poz. 1842 – zwanej dalej jako: "ustawa covidowa"), wynikającą z art. 4 pkt 3 ustawy z 28 maja 2021 r. o zmianie ustawy - Kodeks postępowania cywilnego oraz niektórych innych ustaw (Dz.U. z 2021 r., poz. 1090), która weszła w życie 3 lipca 2021 r., w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii ogłoszonego z powodu COVID-19 oraz w ciągu roku od odwołania ostatniego z nich, wojewódzkie sądy administracyjne oraz Naczelny Sąd Administracyjny przeprowadzają rozprawę przy użyciu urządzeń technicznych umożliwiających przeprowadzenie jej na odległość z jednoczesnym bezpośrednim przekazem obrazu i dźwięku, z tym, że osoby w niej uczestniczące nie muszą przebywać w budynku sądu.
Stosownie do wskazanej wyżej regulacji, nin. sprawa została skierowana do rozpoznania na rozprawie zdalnej, na podstawie zarządzenia Przewodniczącego Wydziału II.
Rozpoznając przedmiotową sprawę Sąd wskazuje, że na podstawie art. 184 Konstytucji RP, w związku z art. 1 § 1 ustawy z dnia 25 lipca 2002r. Prawo o ustroju sądów administracyjnych (t.j. - Dz.U. z 2019 r., poz. 2167) sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Z kolei przepis art. 3 § 2 pkt 1 p.p.s.a. stanowi, że kontrola działalności administracji publicznej przez sądy administracyjne obejmuje orzekanie w sprawach skarg na decyzje administracyjne (oraz odpowiednio na postanowienia).
Powyższa kontrola dokonywana jest według stanu faktycznego i prawnego na dzień wydania zaskarżonego aktu administracyjnego, na podstawie materiału dowodowego zebranego w toku postępowania administracyjnego.
W wyniku takiej kontroli decyzja (postanowienie) może zostać uchylona w razie stwierdzenia, że naruszono przepisy prawa materialnego w stopniu mającym wpływ na wynik sprawy lub doszło do takiego naruszenia przepisów prawa procesowego, które mogłoby w istotny sposób wpłynąć na wynik sprawy, ewentualnie w razie wystąpienia okoliczności mogących być podstawą wznowienia postępowania (art. 145 § 1 pkt 1 lit. a), b) i c) p.p.s.a.).
Sprawując kontrolę w oparciu o powołane kryterium zgodności z prawem sąd administracyjny orzeka na podstawie akt sprawy administracyjnej, biorąc pod uwagę stan faktyczny i prawny istniejący w dacie wydania ocenianej decyzji, nie uwzględniając okoliczności, które zaistniały w okresie późniejszym. Należy przy tym podkreślić, że sąd administracyjny nie ustala stanu faktycznego, a jedynie wskazuje, które ustalenia organu zostały przez niego przyjęte, a które nie (por. wyrok NSA z dnia 6 lutego 2008r., sygn. akt II FSK 1665/06, opublikowany - podobnie jak pozostałe przywołane w niniejszym uzasadnieniu orzeczenia sądów administracyjnych - w Centralnej Bazie Orzeczeń Sądów Administracyjnych: http://cbois.nsa.gov.pl).
Jednocześnie, zgodnie z art. 134 § 1 p.p.s.a. (w brzmieniu obowiązującym od dnia 15 sierpnia 2015r.) Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a p.p.s.a. (który w nin. sprawie nie ma zastosowania).
Dokonując oceny zaskarżonej decyzji w świetle wskazanych wyżej kryteriów Sąd uznał, że skarga podlega oddaleniu.
Ponieważ zarzuty skargi odnoszą się zarówno do naruszenia przepisów postępowania, jak i przepisów prawa materialnego, Sąd w pierwszej kolejności zobowiązany jest do rozpoznania zarzutów procesowych albowiem tylko wszechstronnie zgromadzony i poddany ocenie przez organ administracji publicznej materiał dowodowy daje podstawę do prawidłowego procesu subsumpcji prawa materialnego.
Sąd porządkowo przypomina, że w obszarze naruszeń prawa procesowego Skarżący zarzuca organowi brak zgromadzenia materiału dowodowego pozwalającego uznać naruszenie zasady integralności i poufności oraz niezgodnego z prawem przetwarzanie danych osobowych przez Skarżącą Spółkę za udowodnione, a także nieuwzględnienie przez organ znanego z urzędu faktu, że działanie Skarżącej będące w istocie przedmiotem skargi uczestnika postępowania do Prezesa UODO, tzn. nieadekwatne zabezpieczenie przez Skarżącą bazy danych osobowych użytkowników portalu [...], było już przedmiotem decyzji Prezesa UODO z dnia [...] grudnia 2020r. do którego to postępowania Skarżąca odwoływała się w swoich pismach procesowych, jak również jest przedmiotem szeregu podobnych postępowań w sprawach indywidualnych, co prowadzi do wielokrotnej oceny tego działania lub zaniechania i nakładania sankcji w różnych postępowaniach, w których jeden i ten sam incydent w części spraw jest uznany za naruszenie przez Skarżącą przepisów prawa, a w innych nie.
Odnosząc się do powyższego Sąd stwierdza, że w toku postępowania wszczętego skargą uczestnika postępowania do Prezesa UODO, [...] (Skarżąca Spółka) przyznała, iż dane osobowe wyżej wymienionego zapisane na jego koncie użytkownika zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu [...] powierzył przetwarzanie danych osobowych. Błąd ten polegał, wedle udzielonej przez administratora informacji, na braku zabezpieczenia danych w okresie od [...] do [...] marca 2020 r. przez podmiot współpracujący z [...]. W wyniku tego, zakres danych osobowych objętych nieuprawnionym dostępem w stosunku do uczestnika postępowania objął (podane w trakcie zakładania konta użytkownika lub w okresie późniejszym): imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny wykształcenie, hasło do profilu klienta na [...].
Powyższe potwierdza także w sposób nie budzący wątpliwości analiza akt sprawy, z której wynika, dane osobowe uczestnika postępowania, których administratorem jest Skarżąca, zostały udostępnione nieznanej osobie trzeciej.
Jedynie dodatkowo można także wskazać, że również w skardze do tut. Sądu, [...] potwierdziła, że zgłosiła naruszenie stosowanie do art. 33 i art. 34 rozporządzenia w zakresie ujawnionych danych wymienionego uczestnika postępowania oraz, że przekazane przez Spółkę w toku postępowania informację znajdują potwierdzenie w wydruku wiadomości e-mail wysłanej z adresu elektronicznego [...].
W świetle powyższego, co raz jeszcze podkreślić należy, niespornego stanu faktycznego, Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych prawidłowo stwierdził, że ujawnienie danych osobowych konkretnej osoby fizycznej podmiotowi trzeciemu jest udostępnieniem danych w rozumieniu rozporządzenia (art. 4 pkt 2). Ujawnienie danych osobowych nie musi być bowiem wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Taka sytuacja wystąpiła niewątpliwie w rozpatrywanej sprawie, skoro sama Spółka przyznała, że dane osobowe uczestnika postępowania zapisane na jego koncie użytkownika zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu powierzono przetwarzanie danych osobowych, polegającego na braku zabezpieczenia tych danych. Chybione jest zatem stanowisko Spółki, która zmierza do wykazania, że ujawnienie danych osobowych uczestnika postępowania, o którym mowa w zaskarżonej decyzji, nie stanowi ich udostępnienia, lecz naruszenie ochrony danych osobowych (art. 4 pkt 12 RODO) będące wynikiem "cyberataku".
Sąd wyjaśnia, że zgodnie z art. 4 pkt 2 RODO "przetwarzanie" danych osobowych, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Warunki uznania przetwarzania danych osobowych za legalne określono z kolei w art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Sąd orzekający w niniejszej sprawie podziela również zapatrywanie Prezesa Urzędu Ochrony Danych Osobowych, że udostępnienie danych osobowych skarżącego, polegające na ich ujawnieniu nieznanemu, nieuprawnionemu odbiorcy, nie znajdowało oparcia w żadnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych.
W konsekwencji, zdaniem Sądu, zaistniały przesłanki do skorzystania przez Prezesa Urzędu Ochrony Danych Osobowych z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b RODO.
Prezes Urzędu Ochrony Danych Osobowych wydając zaskarżoną decyzję, stwierdził naruszenie przez skarżącą Spółkę przepisów art. 5 ust. 1 lit f, art. 25 ust. 1m art. 32 ust. 1 lit b, art. 32 ust. 1 lit d oraz art. 32 ust. 2 rozporządzenia RODO, polegające na niewdrożeniu przez Spółkę, zarówno w fazie projektowania procesu przetwarzania, jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność do skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków.
Sąd podziela pogląd skargi, że jakkolwiek za chybione należy uznać odwołanie się w zaskarżonej decyzji do art. 5 ust. 1 lit. f RODO, zgodnie z którym dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"), to jednak wada ta nie miała istotnego wpływu na wynik sprawy.
Podkreślić bowiem trzeba, że kwestie dotyczące zastosowania odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych nie były objęte zakresem postępowania zakończonego zaskarżoną decyzją.
Dlatego też stwierdzone "uchybienie" nie miało wpływu na wynik sprawy, ponieważ w jej właściwie ustalonych okolicznościach faktycznych zaistniały przesłanki uprawniające organ nadzorczy do udzielenia upomnienia na podstawie art. 58 ust. 2 lit. b rozporządzenia. Jak już bowiem wywiedziono wcześniej, bezspornym w sprawie jest, że doszło do naruszenia przepisów rozporządzenia przez operację przetwarzania (udostępnienia) bez podstawy prawnej. Ustalenie naruszenia art. 6 ust. 1 RODO pozostaje natomiast w związku z zasadą wyrażoną w art. 5 ust. 1 lit. a RODO, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem, (...).
W tej sytuacji – wobec prawidłowego stwierdzenia braku co najmniej jednej przesłanki legalizującej przetwarzania wymienionej w art. 6 ust. 1 RODO - niepowołanie w zaskarżonej decyzji art. 5 ust. 1 lit. a RODO, a wadliwe powołanie art. 5 ust. 1 lit. f RODO, pozostało bez wpływu na prawidłowość rozstrzygnięcia.
W związku z powyższym chybione jest także stanowisko Skarżącej, że przedmiot postępowania wszczętego skargą uczestnika postępowania jest tożsamy z przedmiotem postępowania zakończonego decyzją Prezesa Urzędu Ochrony Danych Osobowych z [...] grudnia 2020 r. nr [...] (uchyloną wyrokiem Wojewódzkiego Sądu Administracyjnego z 5 października 2021 r. sygn. akt II SA/Wa 528/21 – od wyroku wniesiono skargę kasacyjną), a prowadzenie przedmiotowego i szeregu innych postępowań skutkuje wielokrotną oceną tego samego działania i wielokrotnym nakładaniem sankcji.
Należy zaznaczyć, że zgodnie z art. 77 ust. 1 RODO, bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
Uczestnik postępowania miał zatem prawo wystąpić do Prezesa UODO z indywidualną skargą, zarzucając niezgodne z przepisami RODO przetwarzanie (ujawnienie podmiotom nieuprawnionym) jego danych osobowych, a Prezes UODO był zobowiązany do rozpatrzenia tej skargi. Właściwie ustaliwszy naruszenie przepisów RODO przez operację przetwarzania, organ prawidłowo stwierdził wyłącznie podstawę do skorzystania z uprawnienia przewidzianego w art. 58 ust. 2 lit. b rozporządzenia. Jest to uprawnienie naprawcze, a nie sankcja, które w świetle jednoznacznej treści wskazanego przepisu może być udzielone administratorowi lub podmiotowi przetwarzającemu.
Należy jeszcze raz zaznaczyć, że zaskarżona decyzja nie rozstrzygała kwestii dotyczących zastosowania odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków.
Innym bowiem postępowaniem jest postępowanie w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne), czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez Prezesa UODO indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych osobowych z przepisami RODO.
Jak już natomiast wykazano, osoba fizyczna, której dane zostały ujawnione miała prawo domagać się od Prezesa UODO rozpatrzenia jej sprawy i stwierdzenia naruszenia przepisów RODO w zakresie przetwarzania jej danych osobowych, o czym właściwie rozstrzygnięto zaskarżoną decyzją.
Reasumując, kontrola zaskarżonej decyzji w granicach sprawy nie dała podstaw do stwierdzenia, że została ona wydana z naruszeniem przepisów postępowania, zaś stwierdzone naruszenie prawa materialnego, nie miało wpływu na wynik sprawy.
Dlatego też brak jest także podstaw do uznania, że w postępowaniu zakończonym wydaniem zaskarżonej decyzji nie wyjaśniono wszystkich kwestii mających wpływ na rozstrzygnięcie sprawy wszczętej skargą osoby, której dane osobowe przetwarzano niezgodnie z prawem.
Reasumując dotychczasowe rozważania i ustalenia, mimo dostrzeżonego przez Sąd i wskazanego uchybienia w podstawie prawnej wydanej decyzji (w odniesieniu do art. 5 ust. 1 lit. f RODO) Sąd uznał, że decyzja odpowiada prawu i dlatego Sąd na podstawie art. 151 p.p.s.a. skargę oddalił.