II SA/Wa 659/22

II SA/Wa 659/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-11-22
orzeczenie prawomocne
Data wpływu
2022-04-20
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski
Iwona Maciejuk /przewodniczący/
Karolina Kisielewicz /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 58 ust. 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2021 poz 735
art. 7, art. 77 § 1, art. 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - tekst jedn.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Karolina Kisielewicz (spr.), Asesor WSA Arkadiusz Koziarski, Protokolant referent stażysta Maria Rutkowska po rozpoznaniu na rozprawie w dniu 22 listopada 2022 r. sprawy ze skargi M.L. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z [...] lutego 2022 r. (znak: [...]), na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tj. Dz. U. z 2021 r. poz. 735 ze zm.) w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 5 ust. 1 lit. a, art. 6 ust. 1 i art. 58 ust. 2 lit. b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako rozporządzenie 2016/679, po przeprowadzeniu postępowania ze skargi M.L., udzielił Urzędowi Gminy [...] upomnienia za nieprawidłowości w procesie przetwarzania danych osobowych M.L., polegające na naruszeniu art 6 ust. 1 w zw. z art. 5 ust. 1 lit. a rozporządzenia 2016/679, poprzez przetwarzanie danych osobowych skarżącej w zakresie loginu i hasła do PUE ZUS oraz jej danych osobowych zawartych na tej platformie, bez podstawy prawnej.
Powołana decyzja zapadła w następujących okolicznościach faktycznych:
M.L. w piśmie z 5 sierpnia 2021 r. wniosła do Prezesa Urzędu Ochrony Danych Osobowych skargę na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Urząd Gminy [...] (jej ówczesnego pracodawcę), polegające na niezgodnym z prawem przetwarzaniu jej danych osobowych w zakresie loginu i hasła do PUE ZUS (programu Zakładu Ubezpieczeń Społecznych) oraz jej danych osobowych zawartych na tej platformie. Podała, że podczas jej nieobecności w pracy (w okresie od 21 stycznia do 9 kwietnia 2021 r. gdy przebywała na zwolnieniu lekarskim) M.C., której nie udostępniała swoich haseł, bezprawnie zalogowała się na jej hasła dostępu do komputera i PUE ZUS. M.L. wyjaśniła, że dysponuje upoważnieniem pracodawcy do pobierania i wysyłania korespondencji z ZUSu, a login i hasło do programu ZUS to jej prywatne hasła nadane przez ZUS. Skarżąca dodała, że obawia się, że jeżeli ZUS dopatrzy się, że były pobierane dokumenty z jej konta podczas zwolnienia, będzie zobowiązana do zwrotu zasiłku chorobowego.
W piśmie z 24 września 2021 r. M.L. oświadczyła, że domaga się udzielenia Urzędowi Gminy [...] upomnienia i poinformowania jej o naruszeniu stosownie do art. 33 rozporządzenia 2016/679. Skarżąca podniosła, że naruszenie ochrony danych osobowych naraża ją na potencjalne roszczenia ze strony ZUS, a przez to godzi w jej prawa i wolności. W związku z tym M.L. zwróciła się do Prezesa Urzędu Ochrony Danych Osobowych o podęcie działań w sprawie.
W piśmie z 11 października 2021 r. Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 58 ust. 1 lit. a i e rozporządzenia 2016/679, zwrócił się do Wójta Gminy [...] o złożenie wyjaśnień i dostarczenie informacji w sprawie skargi M.L. na nieprawidłowości w procesie przetwarzania jej danych osobowych.
Wójt Gminy [...] w złożonych w odpowiedzi na pismo PUODO z 11 października 2021 r. wyjaśnieniach z 21 października 2021 r. oświadczył, że wobec długotrwałej nieobecności M.L., która była pracownikiem Urzędu Gminy na stanowisku Inspektora [...] i jako kadrowa weryfikowała zwolnienia pracownicze, doszło do posłużenia się jej niezabezpieczonym loginem i hasłem, które znajdowały się na biurku skarżącej. Wójt wyjaśnił, że powodem wykorzystania loginu i hasła do PUE ZUS skarżącej była konieczność pozyskania informacji o nieobecnościach pracowników na skutek zwolnień lekarskich od pracy, w związku z potrzebą naliczenia i wypłaty wynagrodzeń. Dostęp do danych uzyskała M.C. - Kierownik Referatu [...] - bezpośrednia przełożona skarżącej, która z racji pełnionego stanowiska i zakresu czynności służbowych posiada upoważnienie do przetwarzania danych osobowych.
Wójt Gminy [...] wyjaśnił ponadto, że w dniu 10 maja 2021 r., niezwłocznie po otrzymaniu od M.L. informacji o tym, że doszło do wykorzystania jej niezabezpieczonego loginu i hasła do systemu PUE ZUS, przeprowadzone zostało postępowanie wyjaśniające, sporządzono raport z naruszenia bezpieczeństwa przetwarzania danych osobowych oraz poinformowano pracowników Urzędu o konsekwencjach dotyczących nieprzestrzegania procedur w zakresie postępowania z powierzonym identyfikatorem (loginem i hasłem). Celem uniknięcia takich sytuacji w przyszłości zalecono wystąpienie o uzyskanie identyfikatora (loginu i hasła) do ZUS PUE dla M.C. Wójt dodał, że z uwagi na to, że osoba, która uzyskała dostęp do danych, posiada stosowne upoważnienie do ich przetwarzania, nie doszło do wycieku danych, ani do ich udostępnienia osobom nieupoważniony i stwierdzono, że mało prawdopodobne jest, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności innych osób fizycznych, a w konsekwencji uznano, że naruszenie nie podlega obowiązkowi zgłoszenia do organu nadzoru
W opisanych okolicznościach faktycznych powołaną na wstępie decyzją z [...] lutego 2022 r. Prezes Urzędu Ochrony Danych Osobowych udzielił Urzędowi Gminy [...] upomnienia, wyjaśniając że przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 rozporządzenia 2016/679. Katalog przesłanek wymienionych w art. 6 ust. 1 powołanego rozporządzenia jest zamknięty, zaś każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo, jak podniósł organ nadzorczy, na administratorze danych osobowych ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (art. 5 ust. 1 lit a rozporządzenia) oraz wdrożenie takich rozwiązań technicznych i organizacyjnych, które ułatwiłyby nadzór nad tymi procesami. Administrator jest odpowiedzialny za działania swoich pracowników w zakresie przetwarzania danych (wyrok Naczelnego Sądu Administracyjnego w Warszawie z 4 kwietnia 2003 r., sygn. akt II SA 2935/02).
Następnie, odwołując się do opisanych wyżej wyjaśnień administratora danych, Prezes Urzędu Ochrony Danych Osobowych stwierdził, że doszło do naruszenia danych osobowych M.L., polegającego na wykorzystaniu jej danych w zakresie loginu i hasła do PUE ZUS, co skutkowało dostępem do jej danych osobowych zawartych na tej platformie. Pozostawienie przez skarżącą niezabezpieczonego hasła i loginu nie uprawnia automatycznie pracodawcy do ich wykorzystania, nawet gdyby cel, który chciał osiągnąć nie był sprzeczny z prawem. Urząd jako administrator danych, powinien przewidzieć tego rodzaju sytuację i wydać stosowne upoważnienia i pełnomocnictwa innym pracownikom, tak aby podczas nieobecności M.L. możliwe było pozyskanie z systemu ZUS informacji o zwolnieniach lekarskich pracowników, w związku z potrzebą naliczenia i wypłaty wynagrodzeń za pracę. Tymczasem Urząd Gminy [...] dopiero po zgłoszeniu przez skarżącą naruszenia jej danych osobowych postanowił udzielić innemu pracownikowi dostępu do PUE ZUS.
W konkluzji Prezes Urzędu Ochrony Danych Osobowych stwierdził, że przetwarzanie danych osobowych skarżącej w zakresie loginu i hasła do PUE ZUS oraz jej danych osobowych zawartych na tej platformie przez Urząd Gminy [...] nie znajdowało oparcia w żadnej przesłance legalizującej ten proces przetwarzania. Tym samym, jak skonstatował PUODO, Urząd Gminy w procesie przetwarzania danych naruszył art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a rozporządzenia 2016/679, co uzasadnia zastosowanie wobec niego - jako administratora danych - upomnienia, o którym mowa w art. 58 ust. 2 lit. b rozporządzenia.
Jak dalej wywiódł organ nadzorczy, prowadzone przez niego postępowanie administracyjne służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej przywracającej stan zgodny z prawem, na podstawie art. 58 ust. 2 rozporządzenia, między innymi poprzez udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania (lit b).
Prezes Urzędu Ochrony Danych Osobowych, odnosząc się do żądania skarżącej w części dotyczącej zobowiązania administratora do nakazania zawiadomienia jej o tym, że doszło do naruszenia jej danych osobowych, wyjaśnił, że faktycznie obowiązkiem administratora jest zawiadomienie osoby, której dane dotyczą o wystąpieniu naruszenia, o ile naruszenie to może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych i nie zaistniała jednocześnie jedna z przesłanek określonych w art. 34 ust. 3 rozporządzenia, która zwalnia administratora z obowiązku zawiadomienia. Do oceny działania administratora w tym zakresie uprawniony jest organ nadzorczy, który po zbadaniu okoliczności związanych ze zgłoszonym naruszeniem może zażądać od administratora zawiadomienia osoby, której dane dotyczą lub stwierdzić, że spełniona została jedna z przesłanek określonych w art. 34 ust. 3. To organ nadzorczy weryfikuje zatem podjęte przez administratora działania. Stroną postępowania dotyczącego zgłoszenia naruszenia może być wyłącznie administrator, zaś skarżącej nie przysługuje prawo do żądania nakazania administratorowi poinformowania jej o naruszeniu.
M.L. w piśmie z 10 marca 2022 r. wniosła skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] lutego 2022 r. do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Skarżąca zarzuciła, że zaskarżona decyzja narusza art. 7, art. 77 § 1 i art. 80 k.p.a. Organ stwierdził bowiem, że doszło do naruszenia przepisów o ochronie danych osobowych przez Urząd Gminy w [...], ale nie ustalił dostatecznie, czy nie doszło do wypływu jej danych osobowych na zewnątrz i skorzystania z tych danych przez podmioty trzecie (przyjął bez weryfikacji wyjaśnienia Urzędu w tym zakresie).
Skarżąca podkreśliła, że jej skarga przyczyniła się do ujawnienia, że u jej byłego pracodawcy doszło o naruszeń przepisów o ochronie danych osobowych i stwierdziła, że "gdyby skargi nie było, nadal dochodziłoby do naruszeń". To zaś, jej zdaniem, prowadzi do wniosku, że upomnienie nie jest adekwatne do stopnia naruszenia prawa, jakiego dopuścił się Urząd Gminy w [...].
M.L. odwołała się do art. 148 preambuły rozporządzenia 2016/679 i stwierdziła, że sankcje za naruszenie ochrony danych osobowych nie są bezwzględnie zależne od wystąpienia skutku, np. w postaci faktycznego wykorzystania niezabezpieczonych danych przez podmiot trzeci. W niniejszej sprawie organ administracji winien był również rozważyć charakter naruszenia, jego wagę, czas trwania, działania podjęte w celu zminimalizowania szkody, stopień odpowiedzialności administratora danych, zachowanie administratora po naruszeniu zasad ochrony (np. stopień współpracy z organem nadzorczym), kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO, a także inne czynniki obciążające lub łagodzące (np. osiągnięte korzyści finansowe lub uniknięcie strat).
W dalszej części skargi skarżąca podniosła m. in., że wbrew wyjaśnieniom jej byłego pracodawcy, zaakceptowanych przez organ, jej hasła do PUE ZUS nie znajdowały się w miejscu niezabezpieczonym na biurku. Login i hasło były zapisane na ulotce, na której nie było informacji, do czego i jakiego programu służą i schowane w kalendarzu między różnymi wizytówkami, zapiskami i numerami telefonów, które wykorzystywała w pracy, a jedyną osobą, która widziała, jak skarżąca mogła chować hasła, jest A.J., z którą pracowała w tym samym pokoju. Skarżąca dodała, że podczas jej nieobecności w pracy do pobierania dokumentów z platformy PUE ZUS od 2019 r. upoważnienie miał R.D. (informatyk), który przez pierwsze kilka dni pobierał dokumenty. Skarżąca podniosła, że na zwolnieniu lekarskim przebywała od 21 stycznia 2021 r., wynagrodzenie było wypłacone w dniu 27 stycznia 2021 r., a M.C. logowała się na jej konto już po naliczeniu styczniowych wynagrodzeń, więc miała czas, aby takie upoważnienie uzyskać z Zakładu Ubezpieczeń Społecznych. Tymczasem upoważnienie do PUE ZUS dla Kierownika Referatu zostało wydane w dniu 1 lipca 2021 r., czyli ponad dwa miesiące po zgłoszeniu naruszeń do Urzędu Ochrony Danych Osobowych i po dniu zwolnienia skarżącej z pracy.
M.L. w skardze do Sądu podniosła, że po otrzymaniu w dniu 28 stycznia 2020 r. zawiadomienia organu z 24 stycznia 2020 r. o możliwości zapoznania się z zebranym materiałem dowodowym i wypowiedzenia się co do zebranych materiałów i dowodów przed wydaniem decyzji, w dniu 1 lutego 2022 r. skontaktowała się z pracownikiem organu w celu uzgodnienia terminu wizyty w Urzędzie. Pracownik Urzędu Ochrony Danych Osobowych poinformował ją, że z aktami sprawy może zapoznać się trzy dni później, mimo że "realizacja powyższych uprawnień powinna nastąpić w terminie 7 dni od dnia doręczenia niniejszego pisma". M.L. wyjaśniła, że w dniu 3 lutego 2022 r. zapoznała się z aktami sprawy.
Skarżąca dodała, że naruszenia dokonane przez Urząd Gminy godzą w jej prawa i wolności, narażają na potencjalne roszczenia finansowe ze strony Zakładu Ubezpieczeń Społecznych, świadczą o jej dyskryminacji, naruszeniu dobrego imienia. M.L. stwierdziła, że aby zataić fakt naruszenia danych osobowych, zwolniono ją z pracy, tłumacząc tę decyzję likwidacją stanowiska, natomiast osoby które świadomie dopuściły się kradzieży i celowego logowania nie poniosły żadnej odpowiedzialności.
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę podtrzymał stanowisko wyrażone w zaskarżonej decyzji i wniósł o jej oddalenie. Organ administracji wyjaśnił, że przedmiotem sprawy było wyłącznie ustalenie czy miało miejsce kwestionowane przez skarżącą przetwarzanie przez Urząd jej danych osobowych w zakresie loginu i hasła do PUE ZUS oraz jej danych osobowych zawartych na tej platformie, a w przypadku stwierdzenia naruszenia skorzystanie przez Prezesa UODO z uprawnień przysługujących mu na mocy art. 58 ust. 2 RODO. Prezes UODO nie badał czy "doszło do wypływu danych osobowych na zewnątrz i skorzystania z tych danych przez podmioty trzecie'", ponieważ taki proces przetwarzania nie był przedmiotem skargi M.L. z 5 sierpnia 2021 r. Rozstrzygnięcie organu nie może natomiast wykraczać poza przedmiot prowadzonego postępowania.
Odnosząc się do stwierdzenia skarżącej, że kara w postaci upomnienia nie jest adekwatna do stopnia naruszenia prawa jakiego dopuścił się administrator jej danych osobowych, organ odwołał się do art. 58 ust. 2 lit. i rozporządzenia 2016/679 i wyjaśnił, że uprawnienie do nakładania administracyjnych kar pieniężnych należy do jego autonomicznych kompetencji oraz że czynności w tej sprawie nie są podejmowane na wniosek strony. Kary pieniężne mogą być stosowane - jak stanowi art. 83 ust. 2 rozporządzenia - "oprócz lub zamiast" innych uprawnień naprawczych. Oznacza to, że organ nadzorczy nie jest zobligowany do nałożenia kary w każdym przypadku naruszenia przepisów rozporządzenia. Może bowiem uznać, że nałożenie kary pieniężnej jest sankcją nieproporcjonalną do rodzaju naruszenia i poprzestać na zastosowaniu innych środków nadzorczych. W rozpatrywanej sprawie Prezes UODO uznał, że właściwe jest zastosowanie wobec Urzędu Gminy [...] upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, biorąc pod uwagę przedmiot skargi, zaskarżona decyzja została wydana w oparciu o wystarczający i niebudzący wątpliwości organu materiał dowodowy. Podnoszona przez skarżącą wielokrotnie w treści skargi na decyzję okoliczność, że informatyk Urzędu miał upoważnienie do pobierania dokumentów z ZUS PUE, nie miała wpływu na rozstrzygnięcie sprawy. Niezależnie bowiem od ilości osób, którym pracodawca wydał stosowne pełnomocnictwo do wykonywania czynności prawnych w relacjach z ZUS, nie mógł on skorzystać z haseł skarżącej. Aktualne zatem pozostaje stwierdzenie zawarte w zaskarżonej decyzji, że "Urząd jako administrator winien był przewidzieć tego rodzaju sytuację i wydać stosowne upoważnienia i pełnomocnictwa innym pracownikom, tak aby zapewnić ciągłość działania organizacji i aby działania te były zgodne z przepisami o ochronie danych osobowych". Fakt, że Urząd posłużył się loginem i hasłem skarżącej, podczas jej nieobecności, w celu wykonywania czynności służbowych, a z jakichś przyczyn czynności tych nie dokonał upoważniony informatyk, ewidentnie świadczy o tym, że nie zapewniono ciągłości działania w sposób zgodny z przepisami o ochronie danych osobowych.
Organ administracji, odnosząc się do zarzutów skarżącej dotyczących niepodjęcia przez Urząd działań naprawczych do dnia 8 czerwca 2021 r. oraz informacji, że upoważnienie do PUE ZUS dla Kierownika Referatu zostało wydane dopiero 1 lipca 2021 r., podniósł, że wydając decyzję administracyjną zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania decyzji. Na dzień wydania decyzji przez Prezesa UODO działania naprawcze mające na celu uniknięcie w przyszłości podobnych zdarzeń zostały przez skarżony podmiot podjęte.
Prezes UODO dodał, ze nie ma kompetencji do orzekania w sprawach z zakresu ochrony dóbr osobistych i wyjaśnił, że art. 17 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz. U. z 2019 r. poz. 1460 ze zm.) wskazuje na właściwość sądów okręgowych do rozstrzygania spraw tego rodzaju.
W piśmie z 8 lipca 2022 r. radca prawny J.J. zgłosiła swój udział w niniejszym postepowaniu jako pełnomocnik skarżącej i wniosła o przeprowadzenie rozprawy i przesłuchanie skarżącej na okoliczność: 1) faktu naruszenia przez Urząd Gminy w [...] przepisów ustawy o ochronie danych osobowych, 2) nieustalenia przez organ wszystkich istotnych okoliczności faktycznych sprawy, w tym dotyczących tego, czy doszło do udostępnienia jej danych osobowych na zewnątrz i skorzystania z tych danych przez osoby trzecie, 3) nieadekwatności nałożonej kary do stopnia naruszenia jakiego dopuścił się Urząd Gminy, 4) nieprawdziwych informacji zawartych w piśmie Wójta z 21 października 2021 r., 5) faktycznego uniemożliwienia jej zapoznania się z zebranym materiałem dowodowym przed wydaniem decyzji oraz naruszenia jej praw i wolności.
Na rozprawie w dniu 1 grudnia 2022 r. pełnomocnik skarżącej cofnęła wnioski dowodowe zawarte w piśmie procesowym z 8 lipca 2022 r.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga M.L. nie zasługuje na uwzględnienie.
W zaskarżonej decyzji Prezes Urzędu Ochrony Danych Osobowych skorzystał z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.; dalej powoływane jako rozporządzenie 2016/679), który stanowi dla organu nadzorczego podstawę do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania.
"Przetwarzanie", zgodnie z art. 4 pkt 2 rozporządzenia 2016/679, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Warunki uznania przetwarzania danych osobowych za legalne określono z kolei w art. 6 ust. 1 rozporządzenia, zgodnie z którym, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Z akt sprawy w sposób niebudzący wątpliwości wynika i nie jest to okoliczność podważana przez żadną ze stron postępowania, że dane osobowe skarżącej, w zakresie loginu i hasła do PUE ZUS oraz dane osobowe zawarte na tej platformie, były przetwarzane przez innego pracownika Urzędu, bez podstawy prawnej.
M.L. w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie zarzuciła natomiast, że upomnienie było nieadekwatne do stopnia naruszenia, jakiego dopuścił się Urząd Gminy w [...].
Odnosząc się do tego zapatrywania skarżącej, należy wyjaśnić, że upomnienie, jako jedna z kompetencji naprawczych organu nadzorczego (art. 58 ust. 2 rozporządzenia), może być stosowane – jak wyjaśniono w motywie 148 preambuły – w przypadku, gdy naruszenie przepisów rozporządzenia jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie.
Wynika z niego, że aby egzekwowanie przepisów rozporządzenia 2016/679 było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy RODO przez organ nadzorczy. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące. Nakładanie sankcji, w tym administracyjnych kar pieniężnych, powinno podlegać odpowiednim zabezpieczeniom proceduralnym zgodnym z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych, w tym skutecznej ochronie prawnej i prawu do rzetelnego procesu. W ocenie Sądu treść przywołanego motywu zawiera wskazanie, w jakich sytuacjach - pomimo stwierdzenia naruszenia przepisów rozporządzenia 2016/679 - dla zapewnienia jego maksymalnej skuteczności wystarczające jest udzielenie upomnienia zamiast nałożenia sankcji w postaci kary pieniężnej.
Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie, w prawidłowo ustalonym stanie faktycznym sprawy Prezes Urzędu Ochrony Danych Osobowych słusznie stwierdził naruszenie przepisów rozporządzenia 2016/679 poprzez przetwarzanie przez Urząd Gminy w [...] danych osobowych M.L. bez podstawy prawnej. Eksponowane przez skarżącą wymogi odpowiedniości, niezbędności i proporcjonalności stosowanego środka naprawczego należy odnosić nie tylko do potencjalnej dolegliwości dla administratora (podmiotu przetwarzającego), ale do całokształtu okoliczności konkretnej sprawy. Mając to na uwadze, należy przypomnieć, że w momencie rozstrzygania sprawy przez organ nadzorczy, skutek niezgodnego z prawem przetwarzania danych (w postaci skorzystania z loginu i hasła skarżącej do systemu PUE ZUS) już nastąpił, Urząd Gminy na naruszenie zareagował natychmiast po ustaleniu jego zaistnienia. W tych okolicznościach zastosowanie przez Prezesa Urzędu Ochrony Danych Osobowych środka naprawczego w postaci upomnienia za stwierdzone naruszenie nie może być uznane za nieodpowiednie czy nieproporcjonalne. Zasadność udzielenia upomnienia w okolicznościach rozpoznawanej sprawy potwierdza także brzmienie powoływanego motywu 148 preambuły rozporządzenia.
Organ nie naruszył wskazanych w skardze przepisów prawa procesowego (art. 7, art. 77 § 1 i art. 80 k.p.a.). Ustalił bowiem wszystkie okoliczności istotne dla rozstrzygnięcia sprawy zainicjowanej skargą M.L. z 5 sierpnia 2021 r., której przedmiotem było wyłącznie ustalenie, czy miało miejsce kwestionowane przez skarżącą niezgodne z prawem przetwarzanie przez Urząd Gminy w [...] jej danych osobowych w zakresie loginu i hasła do PUE ZUS oraz jej danych osobowych zawartych na tej platformie, a nie to czy doszło do "udostepnienia tych danych na zewnątrz i skorzystania z tych danych przez podmioty trzecie'", ponieważ taki proces przetwarzania nie był przedmiotem skargi M.L..
Sąd podziela stanowisko organu, że podnoszona przez skarżącą w treści skargi okoliczność, że informatyk Urzędu miał upoważnienie do pobierania dokumentów z ZUS PUE i w związku z tym nie było uzasadnienia do logowania się na jej hasło przez innego pracownika, nie miała wpływu na rozstrzygnięcie sprawy. Zaskarżona decyzja opiera się bowiem na prawidłowym stwierdzeniu, że doszło do niezgodnego z prawem przetwarzania danych osobowych skarżącej w postaci loginu i hasła do PUE ZUS oraz jej danych zawartych na tej platformie. Fakt, że Urząd posłużył się loginem i hasłem skarżącej, podczas jej nieobecności, w celu wykonywania czynności służbowych, a z jakichś przyczyn czynności tych nie dokonał upoważniony informatyk, ewidentnie świadczy o tym, że nie zapewniono ciągłości działania w sposób zgodny z przepisami o ochronie danych osobowych.
Odnosząc się do zarzutu skarżącej dotyczącego naruszenia przez organ prawa strony do czynnego udziału w postępowaniu (art. 10 § 1 k.p.a.) poprzez nieumożliwienie zapoznania się z materiałem dowodowym w przewidzianym prawem terminie, należy przede wszystkim zauważyć, że Prezes Urzędu Ochrony Danych Osobowych w piśmie z 24 stycznia 2022 r., doręczonym skarżącej w dniu 28 stycznia 2022 r. zawiadomił ją o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań w terminie siedmiu dni od dnia doręczenia pisma. Skarżąca w dniu 3 lutego 2022 r., a więc w szóstym dniu wyznaczonego terminu, zapoznała się z aktami sprawy wykonała kopię ich części. W tej sytuacji, nie można zarzucić, że jej prawa procesowe zostały naruszone, tylko dlatego że – jak zdaje się wynikać z treści skargi – nie zapewniono jej siedmiu dni na zapoznanie się z aktami. Dla porządku należy dodać, że w orzecznictwie sądowoadministracyjnym i w doktrynie przyjmuje się jednolicie, że zarzut naruszenia prawa do czynnego udziału w postępowaniu może odnieść skutek tytko wtedy, gdy strona wykaże, że zarzucane uchybienie uniemożliwiło jej dokonanie konkretnych, istotnych czynności procesowych. M.L. nie wykazała, w jaki sposób i z jakimi negatywnymi dla niej konsekwencjami jej prawo do czynnego uczestnictwa w postępowaniu zostało naruszone.
Reasumując, Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że zaskarżona przez M.L. decyzja Prezesa Urzędu Ochrony Danych Osobowych z [...] lutego 2022 r. odpowiada prawu. W postępowaniu zakończonym wydaniem zaskarżonej decyzji wyjaśniono wszystkie kwestie mające wpływ na rozstrzygnięcie sprawy wszczętej skargą osoby, której dane osobowe przetwarzano niezgodnie z prawem. Uzasadnienie zaskarżonej decyzji spełnia wymogi zawarte w art. 107 § 3 k.p.a.
Mając to wszystko na uwadze, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329 ze zm.), orzekł jak w sentencji.