II SA/Wa 774/24

II SA/Wa 774/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-03-21
orzeczenie nieprawomocne
Data wpływu
2024-05-23
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Iwona Maciejuk
Joanna Kube /przewodniczący/
Mateusz Rogala /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OZ 432/24 - Postanowienie NSA z 2024-11-07
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Powołane przepisy
Dz.U. 2022 poz 2000
art.7, art. 77, art. 80, art. 107 par 3, art. 11, art 189a par 1, art 189g
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U. 1997 nr 78 poz 483
art. 51 ust 1
Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie  Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu  25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Iwona Maciejuk, Asesor WSA Mateusz Rogala (spr.), , Protokolant starszy specjalista Elwira Sipak po rozpoznaniu na rozprawie w dniu 21 marca 2025 r. sprawy ze skargi S. S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2024 r. nr [...] w przedmiocie nałożenia administracyjnej kary pieniężnej oraz nakazania zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych 1. uchyla punkt 1 zaskarżonej decyzji; 2. oddala skargę w pozostałym zakresie; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz S. S.A. z siedzibą w [...] kwotę 25206 zł (słownie: dwadzieścia pięć tysięcy dwieście sześć złotych), tytułem zwrotu kosztów postępowania.
Uzasadnienie
Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] marca 2024 r. nr [...], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm., powoływanej dalej jako k.p.a.), art. 7 ust. 1 i 2, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1, 2 i 3, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm., powoływanego dalej jako rozporządzenie nr 2016/679), Prezes Urzędu Ochrony Danych Osobowych, w pkt 1 nałożył na S. S.A. z siedzibą w [...] administracyjną karę pieniężną w wysokości 1.440.549 zł z uwagi na stwierdzenie naruszenia przez S. S.A. przepisów:
a) art. 33 ust. 1 rozporządzenia nr 2016/679, polegającego na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
b) art. 34 ust. 1 rozporządzenia nr 2016/679, polegającego na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą,
a w pkt 2 nakazał S. S.A. zawiadomienie - w terminie 3 dni od dnia doręczenia decyzji - osób, których ochrona danych została naruszona na skutek zdarzenia wpisanego do Rejestru Naruszeń Danych Osobowych S. S.A. pod numerem [...], o naruszeniu ochrony ich danych osobowych w celu przekazania tym osobom informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia nr 2016/679, tj.: a) opisu charakteru naruszenia ochrony danych osobowych; b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych; d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
W uzasadnieniu swojego rozstrzygnięcia organ podał, że postępowanie administracyjne w tej sprawie zostało wszczęte w związku z uzyskaniem przez organ informacji z artykułu zamieszczonego w serwisie [...] o naruszeniu ochrony danych osobowych klientów S. S.A., polegającym na upublicznieniu dokumentów bankowych znajdujących się w porzuconej na osiedlu w K. przesyłce, po tym jak została ona uprzednio skradziona w czasie transportu w firmie kurierskiej. Sam artykuł opublikowany został w dniu [...] listopada 2018 r., natomiast incydent miał miejsce [...] listopada 2018 r.
W toku postępowania bank udzielił organowi wyjaśnień w piśmie z dnia 16 września 2022 r., informując, że do znalezienia dokumentów, których dotyczyła wskazana wyżej publikacja, w bloku w K. doszło w dniu [...] listopada 2018 r. Przedmiotowe naruszenie ochrony danych osobowych objęło maksymalnie 158 osób (liczba ta została ustalona na podstawie danych zawartych w zastawieniu wysłanej dokumentacji, ze wskazaniem numerów identyfikacyjnych klientów, których dokumenty odnaleziono). Upublicznione dokumenty pochodziły z okresu od [...] listopada 2018 r. do [...] listopada 2018 r.
Bank wyjaśnił, że naruszenie ochrony danych osobowych nie zostało zgłoszone Prezesowi UODO, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera; zweryfikowano, że nie brakuje żadnych dokumentów; osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji; osoba ta przyznała, że nie kopiowała dokumentów.
W związku z powyższym również osoby, których dane dotyczą, nie zostały poinformowane o naruszeniu ochrony danych osobowych.
Bank opisał następnie, jakie działania podjęto w celu zminimalizowania ryzyka ponownego wystąpienia tego typu zdarzeń w przyszłości, w związku z czym powołano grupę roboczą, której zadaniem była analiza zdarzenia oraz opracowanie mechanizmów pozwalających na zapobiegnięcie powstania podobnych sytuacji w przyszłości. Bank szczegółowo opisał efekt prac wspomnianej grupy.
W kolejnych wyjaśnieniach z dnia 27 października 2022 r. bank podał, że w dokumentacji objętej naruszeniem znalazły się następujące kategorie danych osobowych: nazwiska i imiona, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, nazwy użytkowników i/lub hasła, dane dotyczące zarobków i/lub posiadanego majątku, serie i numery dowodów osobistych, numery telefonów, informacje o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegóły tych produktów, informacje o polisach ubezpieczenia mienia, tj. m.in. numery polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacje dotyczące ubezpieczonego mienia. Jednocześnie, Bank wskazał, że w dokumentacji bankowej objętej naruszeniem nie było danych, o których mowa w art. 9 lub art. 10 rozporządzenia nr 2016/679.
W dalszej części uzasadnienia swojego rozstrzygnięcia organ przytoczył przepisy art. 33 ust. 1 i 3 oraz art. 34 ust. 1, 2 i 3 rozporządzenia nr 2016/679 statuujące obowiązek administratora, odpowiednio zgłoszenia naruszenia danych osobowych organowi oraz zawiadomienia o naruszeniu osoby, której dane dotyczą. Organ zwrócił uwagę, że z analizy tych przepisów wynika, iż obowiązki administratora w stosunku do organu nadzorczego, a także osób, których dane dotyczą, są zależne od poziomu ryzyka naruszenia praw lub wolności osób fizycznych.
Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także wobec osób, których dane dotyczą. W przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, rozporządzenie nr 2016/679 wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia.
Organ podkreślił, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Brak zawiadomienia o naruszeniu ochrony danych osobowych osoby fizycznej, w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności, pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej poważne konsekwencje. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, która polega nie tylko na ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.
Organ zwrócił uwagę, że w niniejszej sprawie osoba nieuprawniona zapoznała się z danymi osobowymi klientów banku zawartymi w dokumentacji bankowej w zakresie: imienia i nazwiska, daty urodzenia, numeru rachunku bankowego, adresu zamieszkania lub pobytu, numeru ewidencyjnego PESEL, adresu e-mail, nazwy użytkownika i/lub hasła, danych dotyczących zarobków i/lub posiadanego majątku, serii i numeru dowodu osobistego, numeru telefonu, informacji o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegółów tych produktów, a ponadto informacji o polisach ubezpieczenia mienia, tj. m.in. numerów polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacji dotyczących ubezpieczonego mienia. Ponadto, ujawnione zostały dane związane z faktem zawarcia umów i ich treścią. Brak także pewności, czy przed osobą, która dostarczyła przedmiotowe dokumenty na posterunek Policji, z dokumentami tymi nie zapoznały się inne osoby, jako że znajdowały się one w miejscu ogólnodostępnym. Nie ulega więc wątpliwości, że w oparciu o ujawnione dane można łatwo zidentyfikować podmioty danych. Jednocześnie bank nie wykazał, zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia nr 2016/679, że osoba, która odnalazła przesyłkę, może zostać uznana za tzw. zaufanego odbiorcę
Odnosząc się do wyjaśnień spółki, że dokonaną ocenę ryzyka oparła na przekonaniu, że osoba, która weszła w posiadanie umowy, jest tzw. "uczciwym znalazcą", gdyż "zweryfikowano, że nie brakuje żadnych dokumentów", "osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji" oraz "osoba ta przyznała, że nie kopiowała dokumentów", organ stwierdził, powołując się na Wytyczne 9/2022 Europejskiej Rady Ochrony Danych Osobowych, że osoba trzecia, która zupełnie przypadkowo odnalazła przesyłkę z dokumentacją bankową, zawierającą bardzo szczegółowe dane osobowe klientów banku, nie pozostaje z bankiem w żadnych relacjach pozwalających na przyjęcie, że jest ona zaufanym odbiorcą, w rozumieniu przedstawionym w tych Wytycznych. Zdaniem organu, bez znaczenia jest również to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie, istotny jest raczej fakt, że przesyłka została odnaleziona przez jedną zidentyfikowaną osobę. Bank nie ma bowiem pewności, ile osób mogło mieć dostęp do porzuconej przesyłki, bo jak sam podnosi, została ona skradziona w czasie transportu w firmie kurierskiej, co w wystarczający sposób powinno wpłynąć na właściwą i adekwatną do okoliczności ocenę przedmiotowego incydentu bezpieczeństwa, w tym ocenę pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Nawet jeśli niewłaściwym odbiorcą jest osoba znana administratorowi (np. jego klient, który informuje o pomyłce), brak jest gwarancji, że intencje tej osoby nie ulegną zmianie. Na powyższą ocenę nie ma także wpływu fakt uzyskania oświadczenia niewłaściwego odbiorcy o zachowaniu w poufności danych klientów banku, czy jak miało to miejsce w niniejszej sprawie - przyznania, że osoba nie kopiowała dokumentów. Nie ma bowiem pewności, czy przed złożeniem oświadczenia osoba ta nie wykonała kopii lub też nie utrwaliła zawartych w treści dokumentacji danych osobowych w inny sposób, np. poprzez ich spisanie. Również bank nie ma możliwości faktycznej weryfikacji zapewnienia, że nieuprawniony odbiorca nie przekazał danych klientów banku osobom trzecim ani nie posiada kopii tych danych.
Prezes UODO podkreślił, że zaistniałe naruszenie dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia nr 2016/679 - będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającą. Numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje on osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Ponadto należy wziąć pod uwagę, że w wyniku naruszenia doszło do udostępnienia co najmniej jednej osobie nieuprawnionej tych numerów ewidencyjnych wraz z imieniem i nazwiskiem klientów banku, które to zestawienie danych bywa wystarczające do "podszycia się" pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych. Organ w tym zakresie powołał się na poradnik przygotowany przez Biuro Informacji Kredytowej.
Prezes UODO podkreślił ponadto, że analizowane naruszenie ochrony danych osobowych 158 osób dotyczyło także ogromnego zakresu innych danych identyfikujących te osoby, jak danych teleadresowych (które jak powszechnie się przyjmuje obejmują adres zamieszkania lub pobytu, numer telefonu oraz adres e-mail), daty urodzenia, numerów rachunków bakowych, serii i numerów dowodów osobistych, nazwy użytkowników i/lub hasła, danych dotyczących zarobków i/lub posiadanego majątku, czy treści samych umów dotyczących produktów bankowych (nazwy umów, daty ich zawarcia, szczegóły tych produktów) i szeregu informacji związanych z polisami ubezpieczenia mienia (m.in. numery polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacje dotyczące ubezpieczonego mienia).
Ponadto, powołując się na Wytyczne 9/2022, organ stwierdził, że zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedyncze dane. W ocenie ryzyka kluczowym czynnikiem jest rodzaj i wrażliwość danych osobowych ujawnionych w wyniku naruszenia.
Na poparcie stanowiska, że w sprawie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych organ powołał Wytyczne Europejskiej Rady Ochrony Danych 01/2021, a także orzecznictwo sądów administracyjnych. Organ zauważył, że z ostatniego raportu infoDOK (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i Administracji i we współpracy m.in. z Policją oraz Federacją Konsumentów), wynika, że w III kwartale 2023 r. odnotowano 2587 prób wyłudzeń kredytów i pożyczek. W całym
2021 r. odnotowano 8096 próby wyłudzeń na kwotę 336,6 mln zł, zaś w całym 2022 r. odnotowano 8079 prób wyłudzeń kredytów.
Organ przywołał wyroki sądów powszechnych, dotyczące spraw związanych z wyłudzeniami kredytów, w których nieznane osoby dysponują zazwyczaj jedynie imieniem i nazwiskiem oraz prawidłowym numerem PESEL, a pozostałe dane są nieprawdziwe.
Organ podkreślił następnie, że wykonanie przez administratora jego obowiązku wynikającego zarówno z art. 33 ust. 1, jak i art. 34 ust. 1 rozporządzenia nr 2016/679 nie może być uzależniane od zaistnienia naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych.
W konsekwencji organ uznał, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osób, których dane dotyczą, a więc wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym organ stwierdził, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia nr 2016/679 oraz zawiadomienia o naruszeniu podmiotu danych, zgodnie z art. 34 ust. 1 rozporządzenia nr 2016/679. Niewykonanie tych obowiązków oznacza zaś naruszenie przez administratora powyższych przepisów.
Z tych powodów organ uznał, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na spółkę administracyjnej kary pieniężnej na podstawie art. 83 ust. 4 lit. a) rozporządzenia nr 2016/679, który stanowi m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia nr 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10.000.000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Organ następnie przeanalizował szczegółowo wymienione w art. 83 ust. 2 rozporządzenia nr 2016/679 przesłanki mające wpływ na wysokość nałożonej kary pieniężnej.
W ocenie organu, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia nr 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Biorąc pod uwagę administracyjną karę pieniężną nałożoną na bank poprzednią decyzją Prezesa Urzędu Ochrony Danych Osobowych (nr [...]), organ przyjął, że jej wysokość nie była skuteczna, dlatego zdecydował się na zwiększenie wysokości nałożonej kary.
Jednocześnie organ wyjaśnił, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych dnia 24 maja 2023 r.
S. S.A. wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję, zaskarżając ją w całości. Spółka zarzuciła zaskarżonej decyzji naruszenie prawa materialnego, które miało istotny wpływ na wynik sprawy, tj.:
1) art. 189g § 1 w związku z art. 189a § 1 k.p.a. oraz art. 83 ust. 2 lit. a) rozporządzenia nr 2016/679, polegające na niezastosowaniu pięcioletniego terminu przedawnienia dla nałożenia administracyjnej kary pieniężnej określonego w art. 189g § 1 k.p.a., w sytuacji gdy decyzja została wydana [...] marca 2024 r., a termin ewentualnego obowiązku zgłoszenia organowi naruszenia ochrony danych upływałby 27 listopada 2018 r., wobec czego okres przedawnienia nałożenia administracyjnej kary pieniężnej za opisane w decyzji naruszenie upłynąłby 27 listopada 2023 r.;
2) art. 83 ust. 1 w związku z art. 83 ust. 2 lit. b) rozporządzenia nr 2016/679, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że odmienna ocena naruszenia dokonana przez skarżącą od tej, którą dokonał organ, i tym samym niezgłoszenie przez spółkę naruszenia organowi stanowi umyślne naruszenie przepisów rozporządzenia, podczas gdy skarżąca działała na podstawie udokumentowanej oceny naruszenia ochrony danych osobowych, która nie wykazała ryzyka dla praw i wolności osób fizycznych powodujących obowiązek zgłoszenia naruszenia organowi oraz powiadomienia osób, których dane dotyczą, kierując się przepisami rozporządzenia i dostępnymi informacjami, w związku z czym organ nieprawidłowo uznał, że skarżąca umyślnie naruszyła przepisy rozporządzenia, co doprowadziło do niezasadnego nałożenia na skarżącą administracyjnej kary pieniężnej w wysokości naruszającej zasadę proporcjonalności;
3) art. 83 ust. 1 w związku z art. 83 ust. 2 lit. a) rozporządzenia nr 2016/679, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że osoby, których dotyczyło naruszenie ochrony danych osobowych, poniosły szkodę, o której mowa w art. 83 ust. 2 lit. a) rozporządzenia, podczas gdy za poniesienie szkody nie może być uznawana sama obawa jej poniesienia przez osoby, których dane dotyczą, a żadna inna szkoda ani jej rozmiar nie zostały w jakikolwiek sposób wykazane przez organ, co doprowadziło do niezasadnego nałożenia na skarżącą administracyjnej kary pieniężnej, w wysokości naruszającej zasadę proporcjonalności, wbrew literalnemu brzmieniu art. 83 ust. 2 lit. a) rozporządzenia;
4) art. 83 ust. 1 rozporządzenia nr 2016/679 w związku z art. 8 § 1 k.p.a., polegające na wymierzeniu skarżącej administracyjnej kary pieniężnej za naruszenie przepisów rozporządzenia, objętych przepisem art. 83 ust. 4 lit. a) rozporządzenia nr 2016/679, w celu zniechęcenia innych administratorów danych do naruszania w przyszłości prawa ochrony danych osobowych, co skutkowało wymierzeniem kary z naruszeniem zasady jej zindywidualizowania i w wysokości nieproporcjonalnej do rzekomego naruszenia przepisów RODO, którego w ocenie organu dopuściła się skarżąca, jak również do naruszenia zasady prowadzenia postępowania administracyjnego w sposób budzący zaufanie jego uczestników do władzy publicznej oraz wytycznej nakazującej organowi administracji kierować się zasadami proporcjonalności, bezstronności i równego traktowania, wskutek czego organ niezasadnie wymierzył skarżącej administracyjną karę pieniężną;
5) art. 33 ust. 1 oraz art. 34 ust. 1 w związku z art. 24 ust. 1 oraz art. 32 ust. 2 rozporządzenia nr 2016/679, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że przeprowadzona przez skarżącą ocena ryzyka dla praw i wolności osób, których dotyczy naruszenie ochrony danych osobowych, powinna wskazywać wysokie ryzyko, podczas gdy ocena przeprowadzona przez organ była selektywna, opierająca się na ogólnych założeniach, w szczególności pozbawiona konkretnej analizy prawdopodobieństwa wystąpienia negatywnych konsekwencji oraz bez indywidualnej i szczegółowej oceny ryzyka dla konkretnego przypadku, pozbawiając tej oceny specyfiki, kontekstu ich przetwarzania oraz rzeczywistego wpływu naruszenia na osoby, których dane dotyczą, w konsekwencji czego organ nałożył na skarżącą karę finansową;
6) art. 34 ust. 1 rozporządzenia nr 2016/679, polegające na jego niewłaściwym zastosowaniu i nakazaniu skarżącej zawiadomienia osób, których dotyczyło naruszenie ochrony danych osobowych, podczas gdy zgodnie z udokumentowaną i uzasadnioną oceną skarżącej naruszenie nie powodowało wysokiego ryzyka naruszenia praw lub wolności osób fizycznych i nie miał zastosowania obowiązek wskazany w art. 34 ust. 1 rozporządzenia, w związku z czym organ niezasadnie nakazał skarżącej spełnić obowiązek określony w art. 34 ust. 1 rozporządzenia;
7) art. 83 ust. 2 lit. g) rozporządzenia nr 2016/679, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że w przypadku, gdy naruszeniem ochrony danych osobowych objęty jest numer PESEL, zachodzi wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w sytuacji gdy każdorazowe wystąpienie naruszenia ochrony danych osobowych wymaga indywidualnej analizy ryzyka w kontekście zmiennych elementów stanu faktycznego, a w konsekwencji objęcie numeru PESEL naruszeniem nie stanowi automatycznie o wysokim poziomie ryzyka, co doprowadziło nałożenia na skarżącą administracyjnej kary pieniężnej;
8) art. 83 ust. 2 lit. f) rozporządzenia nr 2016/679, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że prawidłowym postępowaniem skarżącej w ramach współpracy z organem byłoby zgłoszenie naruszenia i zawiadomienie podmiotów danych już w momencie wszczęcia postępowania przez organ, formułując w ten sposób nieuprawnione oczekiwanie, podczas gdy bank, wyjaśniając stan faktyczny i odpowiadając na wszystkie pytania organu, spełniał swój obowiązek współpracy przed wydaniem decyzji, trzymając się własnej oceny stanu faktycznego i prawnego, która to postawa nie może być interpretowana przez organ jako niezadowalająca, w konsekwencji czego organ niezasadnie nałożył na skarżącą administracyjną karę pieniężną;
9) art. 2 ust. 1 w zw. z art. 4 pkt 6 rozporządzenia nr 2016/679, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że dokumentacja wykradziona firmie kurierskiej podlegała przepisom rozporządzenia, pomimo że zarówno dla firmy kurierskiej, jak i dla znalazcy dane w niej zawarte były przetwarzane w formie papierowej, a zatem w sposób inny niż zautomatyzowany, a ponadto dane te nie były i nie miały być częścią zbioru, ponieważ nie stanowiły uporządkowanego zestawu danych osobowych dostępnych według określonych kryteriów, a tym samym naruszenie tych przepisów doprowadziło do niezasadnego nałożenia na skarżącą administracyjnej kary pieniężnej;
10) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a) rozporządzenia nr 2016/679, polegające na nieuznaniu przez organ jako okoliczności łagodzącej faktu, że stan naruszenia miał miejsce przez bardzo krótki czas, przy częściowo ograniczonym dostępie do rozproszonej i nieuporządkowanej papierowej dokumentacji, co znacząco utrudniało ich ewentualne utrwalenie, a ich nieuporządkowany charakter dodatkowo ograniczał ryzyko naruszenia praw i wolności osób fizycznych, co doprowadziło do niezasadnego nałożenia na skarżącą administracyjnej kary pieniężnej, w wysokości naruszającej zasadę proporcjonalności;
11) art. 83 ust. 2 lit. e) rozporządzenia nr 2016/679, polegające na jego niewłaściwym zastosowaniu i przyjęciu za okoliczność uzasadniającą nałożenie oraz podwyższającą nałożoną administracyjną karę pieniężną nieprawomocnych orzeczeń sądowych oraz nieprawomocnych decyzji administracyjnych (swoich własnych - organu) i uznaniu ich jako okoliczności wpływających obciążająco na fakt nałożenia oraz wymiar nałożonej na skarżącą kary finansowej, wskutek czego organ niezasadnie wymierzył skarżącej administracyjną karę pieniężną;
12) art. 83 ust. 2 lit. c) rozporządzenia nr 2016/679, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżąca nie podjęła działań w celu zminimalizowania szkody, podczas gdy skarżąca podjęła szereg działań mających na celu minimalizację ewentualnych szkód, w konsekwencji czego organ wybiórczo i selektywnie zastosował tę przesłankę dla nałożenia kary finansowej.
Skarżąca postawiła także zarzut naruszenia przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 w związku z art. 77, art. 80 i art. 107 § 3 w związku z art. 11 k.p.a., polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało nieprawidłowym przyjęciem, że dokumenty zostały upublicznione, podczas gdy z oczywistych faktów ustalonych w sprawie wynika, że dane te nie były upublicznione oraz polegające na nieustaleniu faktu wystąpienia oraz rozmiaru rzekomej szkody niemajątkowej, którą zdaniem organu poniosły osoby, których może dotyczyć naruszenie ochrony danych osobowych, którego dotyczy decyzja, a w konsekwencji tych nieprawidłowości organ nałożył na skarżącą karę finansową.
Skarżąca wniosła o uchylenie zaskarżonej decyzji w całości, o zasądzenie kosztów postępowania oraz o wstrzymanie wykonania pkt 2 zaskarżonej decyzji.
W uzasadnieniu skargi skarżąca przedstawiła szczegółową argumentację na poparcie postawionych zarzutów.
W odpowiedzi na skargę organ wniósł o jej oddalenie w całości, odnosząc się szczegółowo do postawionych w skardze zarzutów i uznając je za bezzasadne.
Postanowieniem z dnia 8 lipca 2024 r. sygn. akt II SA/Wa 774/24 Wojewódzki Sąd Administracyjny w Warszawie odmówił wstrzymania wykonania pkt 2 zaskarżonej decyzji. Postanowienie to zostało zaskarżone przez skarżącą zażaleniem do Naczelnego Sądu Administracyjnego, który postanowieniem z dnia 7 listopada 2024 r. sygn. akt III OZ 432/24 uchylił postanowienie WSA w Warszawie z dnia 8 lipca 2024 r. i wstrzymał wykonanie pkt 2 zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga zasługuje na uwzględnienie w zakresie pkt 1 zaskarżonej decyzji, tj. w zakresie nałożenia na skarżącą administracyjnej kary pieniężnej. W pozostałej części, tj. dotyczącej pkt 2 zaskarżonej decyzji skarga jest niezasadna.
Przedmiotem kontroli Sądu w rozpoznawanej sprawie jest decyzja Prezesa Urzędu Ochrony Danych Osobowych nakładająca w pkt 1 na S. S.A. karę pieniężną w wysokości 1.440.549 zł w związku ze stwierdzonymi naruszeniami obowiązków wynikających po pierwsze z art. 33 ust. 1 i po drugie z art. 34 ust. 1 rozporządzenia nr 2016/679 oraz w pkt 2 nakazująca tej spółce wykonanie obowiązku określonego w art. 34 ust. 1 tego rozporządzenia.
Podstawę materialnoprawną zaskarżonej decyzji stanowił przede wszystkim art. 84 ust. 4 lit. a) rozporządzenia nr 2016/679. Zgodnie z tym przepisem, naruszenia przepisów dotyczących kwestii obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Dla wymierzenia kary pieniężnej na podstawie tego przepisu w rozpoznawanej sprawie konieczne było zatem niebudzące wątpliwości ustalenie przez organ, że administrator nie wykonał obowiązków określonych w art. 33 ust. 1 oraz art. 34 ust. 1 ww. rozporządzenia.
Jak stanowi art. 33 ust. 1 rozporządzenia nr 2016/679, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Z kolei w myśl art. 34 ust. 1 tego rozporządzenia, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Jak wynika z powyższego, obydwa przywołane przepisy uzależniają uaktualnienie się obowiązku podjęcia przez administratora działań w nich określonych od stopnia ryzyka naruszenia praw lub wolności osób fizycznych. Jeżeli po dokonaniu przez administratora oceny stopnia tego ryzyka dojdzie on do uzasadnionego przekonania, że wystąpienie ryzyka jest mało prawdopodobne jest on zwolniony z obowiązku zgłoszenia organowi naruszenia. Jeżeli zaś uzna, że zaistniałe ryzyko jest wysokie, będzie zobowiązany zawiadomić o naruszeniu osobę, której dane dotyczą.
Wypada podkreślić, że w tej sprawie kara pieniężna została nałożona za niedopełnienie wskazanych wyżej obowiązków, nie zaś za sam fakt wystąpienia naruszenia ochrony danych osobowych. W istocie okoliczności faktyczne dotyczące zaistniałego naruszenia danych osobowych nie są sporne. Po dokonaniu kradzieży przesyłki w czasie transportu przez firmę kurierską, dokumenty zawierające dane osobowe 158 klientów banku zostały odnalezione w bloku mieszkalnym w K.. Osoba, która odnalazła te dokumenty, przekazała je do jednostki Policji. Informacja o tym zdarzeniu znalazła się w portalach internetowych, wskutek czego o odnalezieniu dokumentów dowiedział się zarówno bank, jak i organ. W znalezionych dokumentach znajdowały się następujące dane osobowe klientów banku: nazwiska i imiona, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, nazwy użytkowników i/lub hasła, dane dotyczące zarobków i/lub posiadanego majątku, serie i numery dowodów osobistych, numery telefonów, informacje o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegóły tych produktów, informacje o polisach ubezpieczenia mienia, tj. m.in. numery polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacje dotyczące ubezpieczonego mienia.
Skarżąca dowiedziała się o zaistniałym naruszeniu w dniu [...] listopada 2018 r. Co wymaga podkreślenia, skarżąca nie kwestionuje, że doszło do tak opisanego zdarzenia. Odmiennie jednak niż organ ocenia stopnień powstałego wskutek tego zdarzenia ryzyka naruszenia praw i wolności osoby, której dane osobowe zostały w sposób nieuprawniony udostępnione osobie trzeciej (lub osobom trzecim).
Sąd w składzie rozpoznającym niniejszą sprawę podziela stanowisko organu, że nie można zaakceptować oceny dokonanej przez skarżącą spółkę, jakoby w sprawie nie wystąpiło wysokie prawdopodobieństwo wystąpienia ryzyka naruszenia praw i wolności osoby fizycznej.
Nie budzi bowiem wątpliwości, że możliwość zapoznania się z danymi osobowymi miała najpierw osoba, która dokonała kradzieży przesyłki, następnie wszystkie osoby, które miały dostęp do klatki schodowej bloku, w której dokumenty zostały porzucone, a ostatecznie osoba, które wspomniane dokumenty przekazała Policji. Nie można zatem – jak czyni to skarżąca – przyjmować założenia, że dostęp do danych osobowych miała tylko jedna nieuprawniona osoba. Jeżeli dane osobowe znajdują się w miejscu powszechnie dostępnym, to oznacza, że możliwość zapoznania się z nimi ma potencjalnie nieograniczony katalog osób, które dane te mogą skopiować i wykorzystać w przyszłości. W związku z tym należy przyjąć, że w wyniku naruszenia ochrony danych osobowych administrator utracił kontrolę nad przetwarzanymi danymi osobowymi, natomiast nieuprawnieni odbiorcy (w niemożliwej do ustalenia liczbie) uzyskali do nich dostęp, stali się dysponentami tych danych, co prowadzi do wniosku, że nie może być mowy o incydencie bezpieczeństwa, lecz o naruszeniu ochrony danych osobowych (dotyczącym poufności danych osobowych).
Jak podkreśla się w orzecznictwie sądów administracyjnych (por. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 kwietnia 2022 r. sygn. akt II SA/Wa 3024/21, dostępny w internetowej bazie orzeczeń sądów administracyjnych), ocena prawdopodobieństwa powstania ryzyka naruszenia praw lub wolności osób fizycznych wskutek naruszenia ochrony danych osobowych oraz ocena stopnia tego ryzyka wymaga odniesienia się do charakteru, zakresu, kontekstu i celów przetwarzania danych (pkt 76 Preambuły rozporządzenia nr 2016/679). Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują; dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia (pkt 75 Preambuły rozporządzenia).
W rozpatrywanej sprawie – jak słusznie przyjął organ – mimo że dane zostały przekazane Policji przez osobę, która zadeklarowała, że ich nie kopiowała, nie można tej osoby uznać za pozostającą z administratorem w stałych stosunkach, zaufaną w tym sensie, że pozwalającą przyjąć, że rzeczywiście nie uczyni użytku z danych omyłkowo jej przesłanych. Istotnym czynnikiem przy ocenie prawdopodobieństwa ryzyka naruszenia praw lub wolności osoby, której dane zostały ujawnione jest również łatwość, z jaką strona, która ma dostęp do ujawnionych danych osobowych, będzie w stanie zidentyfikować konkretne osoby fizyczne lub dopasować dane do innych informacji służących identyfikacji osób fizycznych (Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, s. 29).
W rozpatrywanym przypadku charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał ustalenie tożsamości konkretnych osób bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez szczególnej potrzeby gromadzenia dodatkowych informacji pozwalających określić tę tożsamość. W tych okolicznościach osoba, której dane zostały udostępnione utraciła możliwość sprawowania kontroli nad swoimi danymi osobowymi i tym samym doznała naruszenia jej prawa do ochrony danych osobowych (art. 51 ust. 1 Konstytucji RP).
Zdaniem Sądu, jako nieistotne w tym kontekście jawią się okoliczności związane z oświadczeniem osoby trzeciej o nieskopiowaniu danych, a także związane z wprowadzonymi przez skarżącą spółkę procedurami bezpieczeństwa, a także podjętymi działaniami mającymi zmniejszyć zaistniałą szkodę. Ocenie w rozpoznawanej sprawie – jak już wskazano – nie podlegało samo wystąpienie szkody, lecz zaistnienie ryzyka naruszenia praw i wolności danej osoby. Takie ryzyko niewątpliwie wystąpiło w związku z zapoznaniem się przez osobę niepowołaną z takimi danymi osobowymi jak numer nazwiska i imiona, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, nazwy użytkowników i/lub hasła, dane dotyczące zarobków i/lub posiadanego majątku, serie i numery dowodów osobistych, numery telefonów, informacje o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegóły tych produktów, informacje o polisach ubezpieczenia mienia, tj. m.in. numery polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacje dotyczące ubezpieczonego mienia.
To, że osoby, które miały możliwość zapoznania się z danymi, faktycznie nie uczyniły z nich niezgodnego z prawem użytku, nie oznacza, że takie ryzyko nie wystąpiło. Również działania podjęte przez skarżącą nie powodują, że w sprawie nie wystąpiło wysokie ryzyko naruszenia praw i wolności, a zatem nie mają wpływu na ocenę zaistnienia przesłanki relewantnej z punktu widzenia zastosowania art. 34 ust. 1 rozporządzenia nr 2016/679.
Jak wskazuje się w wytycznych Europejskiej Rady Ochrony Danych, z wysokim ryzykiem naruszenia praw i wolności osoby fizycznej możemy mieć do czynienia, gdy np. ujawnione zostaną informacje dotyczące stanu zdrowia danej osoby lub jej sytuacji rodzinnej (por. Wytyczne 9/2022 pkt 106 i 107). Ocena ryzyka musi zatem uwzględniać stopień wrażliwości danych i możliwość ich użycia w sposób wyrządzający znaczną szkodę majątkową lub niemajątkową. Zdaniem Sądu, w uzasadnieniu zaskarżonej decyzji organ wykazał, że tego rodzaju naruszenie ochrony danych wystąpiło w rozpoznawanej sprawie. Według organu, ujawnienie danych osobowych, w szczególności takich jak numer ewidencyjny PESEL wraz z imieniem i nazwiskiem może zostać wykorzystane lub powodować takie negatywne konsekwencje jak kradzież tożsamości czy wyłudzenie pożyczki. Wprawdzie skarżący kwestionuje postawioną przez organ tezę, że samo ujawnienie numeru PESEL w powiązaniu z imieniem i nazwiskiem danej osoby może być wystarczające do dokonania tzw. kradzieży tożsamości, to należy zwrócić uwagę, że w rozpoznawanej sprawie katalog danych, które zostały ujawnione był znacznie szerszy. Jak wynika z wyjaśnień banku odnalezione dokumenty zawierały takie dane jak: nazwiska i imiona, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, nazwy użytkowników i/lub hasła, dane dotyczące zarobków i/lub posiadanego majątku, serie i numery dowodów osobistych, numery telefonów, informacje o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegóły tych produktów, informacje o polisach ubezpieczenia mienia, tj. m.in. numery polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacje dotyczące ubezpieczonego mienia. Tak szeroki zakres danych niewątpliwie umożliwia osobie, która ma do nich dostęp, podjęcie działań, które mogą wyrządzić znaczną szkodę osobom, których dane dotyczą. Przy czym, co należy podkreślić, podstawą do oceny, czy administrator danych jest zobowiązany do zastosowania środków wskazanych w art. 34 ust. 1 rozporządzenia nr 2016/679 jest wysoki stopień ryzyka naruszenia praw i wolności osób fizycznych. Nie jest zatem konieczne, aby w sprawie doszło do powstania konkretnej szkody. Na etapie zawiadamiania o naruszeniu osoby, której dane dotyczą, istotne jest bowiem jedynie ryzyko wystąpienia szkody.
Sąd w składzie rozpoznającym niniejszą sprawę podziela stanowisko organu, że ze względu na zakres ujawnionych danych oraz potencjalnie nieograniczony katalog osób, które z tymi danymi mogły się zapoznać poziom tego ryzyka należy ocenić jako wysoki. W konsekwencji, organ zasadnie stwierdził, że w rozpoznawanej sprawie skarżąca naruszyła obowiązki wynikające z treści art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia nr 2016/679, a wobec niewypełnienia do dnia wydania decyzji obowiązku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dane dotyczą, prawidłowo nałożył na skarżącą nakaz określony w pkt 2 zaskarżonej decyzji.
Z tych powodów Sąd jako niezasadne ocenił zarzuty postawione w pkt 5 i 6 petitum skargi.
Odnosząc się z kolei do zarzutu naruszenia art. 2 ust. 1 w zw. z art. 4 pkt 6 rozporządzenia nr 2016/679, w którym skarżąca kwestionuje, że odnalezione dokumenty stanowiły dane osobowe, należy zwrócić uwagę, że zgodnie z art. 2 ust. 1 rozporządzenia, rozporządzenie to ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Przy czym zbiorem danych w myśl art. 4 pkt 6 rozporządzenia jest uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Jak wynika z powyższego danymi osobowymi w rozumieniu rozporządzenia są nie tylko dane przetwarzane w sposób inny niż zautomatyzowany, jeżeli stanowią one część zbioru danych, lecz również wówczas taką część zbioru danych mają one stanowić. W rozpoznawanej sprawie przedmiotem kradzieży były dokumenty, które uprzednio stanowiły zbiór danych przetwarzanych przez skarżącą w sposób całkowicie lub częściowo zautomatyzowany, lub jeśli takie przetwarzanie nie odbywało się w sposób zautomatyzowany, to stanowiły one część zbioru danych lub część taką miały stanowić. Skarżąca przed dokonaniem kradzieży była zatem niespornie administratorem danych osobowych znajdujących się w tych dokumentach. Nie sposób natomiast przyjąć, by wskutek utraty kontroli nad danymi, utraciły one przymiot danych osobowych w wyżej zaprezentowanym rozumieniu, a także by skarżąca utraciła przymiot administratora tych danych. Należy przy tym jeszcze raz podkreślić, że przedmiotem postępowania w niniejszej sprawie nie były nieprawidłowości spółki w przetwarzaniu danych osobowych, które doprowadziły do ich nieuprawnionego ujawnienia, lecz niewykonanie przez spółkę obowiązków informacyjnych w związku z zaistniałym naruszeniem, wynikających z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia. Zarzut postawiony w pkt 9 petitum skargi nie okazał się z tych przyczyn zasadny.
Sąd uznał również, że wydając zaskarżoną decyzję organ prawidłowo i w wystarczającym zakresie zgromadził materiał dowodowy, który następnie ocenił zgodnie z regułami wskazanymi w art. 7, art. 77 § 1 i art. 80 k.p.a., czemu dał wyraz w prawidłowo i wyczerpująco sporządzonym uzasadnieniu decyzji, zgodnie z wymogami wskazanymi w art. 107 § 3 k.p.a. Sąd nie podzielił tym samym zgłaszanych w skardze zarzutów naruszenia przepisów postępowania. W szczególności nie można zgodzić się ze skarżącą, że organ błędnie ocenił, by skradzione dokumenty zostały upublicznione. Jak już wyżej wskazano, możliwość zapoznania się z danymi osobowymi 158 klientów banku miał potencjalnie nieograniczony katalog osób. To że bank nie ma wiedzy, kto jeszcze miał dostęp do wskazanych dokumentów, nie oznacza, że do takiego ujawnienia danych osobowych bliżej nieokreślonej grupie osób nie doszło. Nie jest bowiem sporne w tej sprawie, że dokumenty zawierające dane osobowe znajdowały się na klatce schodowej bloku mieszkalnego aż do momentu, w której jednak z osób, która miała dostęp do tej klatki schodowej (a nie była to z pewnością jedyna osoba, która taki dostęp miała), przekazała te dokumenty do jednostki Policji. W świetle powyższego należało podzielić dokonaną przez organ ocenę stanu faktycznego niniejszej sprawy.
Z wyżej podanych przyczyn Sąd w pkt 2 sentencji wyroku oddalił skargę w zakresie dotyczącym pkt 2 zaskarżonej decyzji.
Sąd, w pkt 1 sentencji wyroku, uchylił natomiast pkt 1 zaskarżonej decyzji, uznając za zasadny postawiony w skardze zarzut naruszenia art. 189g w związku z art. 189a § 1 k.p.a. Zgodnie z tym przepisem, administracyjna kara pieniężna nie może zostać nałożona, jeżeli upłynęło pięć lat od dnia naruszenia prawa albo wystąpienia skutków naruszenia prawa. Przepis ten miał zastosowanie w niniejszej sprawie na mocy art. 189a k.p.a. W ocenie Sądu, organ naruszył wskazany przepis, bowiem wydał decyzję nakładającą administracyjną karę pieniężną w dniu [...] marca 2024 r., tj. po upływie 5 lat od dnia naruszenia prawa.
Należy zauważyć, że w rozpoznawanej sprawie wymierzono skarżącej karę pieniężną na podstawie art. 84 ust. 4 lit. a) rozporządzenia nr 2016/679, tj. za naruszenie obowiązków administratora określonych w art. 33 ust. 1 i art. 34 ust. 1 tego rozporządzenia. Obydwa wskazane przepisy statuują obowiązek administratora zgłoszenia naruszenia organowi i zawiadomienia o nim podmiotu danych. Naruszenie tego obowiązku polega zaś na zaniechaniu zgłoszenia i/lub zawiadomienia. Jak podkreśla się w doktrynie (por. A. Cebera, J. G. Firlus [w:] Kodeks postępowania administracyjnego. Komentarz, wyd. III, red. H. Knysiak-Sudyka, Warszawa 2023, art. 189g), "przy delikcie z zaniechania momentem naruszenia prawa jest ostatnia chwila, w której działanie nakazane mogło być skutecznie podjęte (A. Wróbel [w:] A. Wróbel, M. Jaśkowska, Kodeks..., s. 1209). Istotne jest bowiem to, że delikty polegające na zaniechaniu związane są zawsze z naruszeniem obowiązku, stąd nie mogą być popełnione w każdym czasie, lecz tylko wtedy, kiedy uprzednio zachodził prawny obowiązek działania." Przyjęcie wykładni omawianych przepisów proponowanej przez organ oznaczałoby natomiast w istocie, że w przypadku gdy delikt administracyjny polega na zaniechaniu, do czasu spełnienia przez podmiot obowiązku, nie rozpoczynałby bieg termin przedawnienia nałożenia kary. Powyższe rozumienie treści art. 189g k.p.a. stoi zaś w sprzeczności z samą istotą instytucji przedawnienia, której celem jest ograniczenia w czasie wydania decyzji nakładającej sankcję. Jak podkreśla się bowiem w doktrynie, "istnienie nielimitowanego przez upływ czasu obowiązku nie sprzyja pewności obrotu, komplikuje relacje pomiędzy jednostką a administracją, nadwyrężając często zaufanie do władzy publicznej" (J. Wegner [w:] Z. Kmieciak, M. Wojtuń, J. Wegner, Kodeks postępowania administracyjnego. Komentarz, Warszawa 2023, art. 189g).
Przenosząc powyższe rozważania na grunt rozpoznawanej sprawy, należy zauważyć, że zgłoszenie Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych na podstawie art. 33 ust. 1 rozporządzenia nr 2016/679 powinno nastąpić najpóźniej w terminie 72 godzin po stwierdzeniu naruszenia, zaś realizacja określonego w art. 34 ust. 1 rozporządzenia obowiązku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, winna nastąpić bez zbędnej zwłoki.
W sprawie nie jest sporne, że do stwierdzenia naruszenia przez skarżącą doszło w dniu [...] listopada 2018 r. Termin do skutecznego dokonania czynności wskazanej w art. 33 ust. 1 rozporządzenia nr 2016/679 upłynął zatem po upływie 72 godzin, tj. w dniu 27 listopada 2018 r. i to ten dzień stanowi moment naruszenia w wyżej zaprezentowanym rozumieniu. Od dnia 27 listopada 2018 r. należy zatem liczyć pięcioletni termin przedawnienia nałożenia administracyjnej kary pieniężnej za naruszenie tego przepisu. Termin ten upłynął więc w dniu 27 listopada 2023 r.
W przypadku zaś obowiązku określonego w art. 34 ust. 1 rozporządzenia nr 2016/679 prawodawca europejski nie wskazał precyzyjnego terminu, w którym zawiadomienie o naruszeniu powinno zostać dokonane, jednak określił, że powinno ono nastąpić bez zbędnej zwłoki. Jak podkreśla się w doktrynie, zdarzają się sytuacje, w których organy administracji publicznej mają wątpliwości, w którym dokładnie momencie w ustalonym przedziale czasu doszło do naruszenia prawa. "W zarysowanym wariancie sytuacyjnym z uwagi na obciążający względem jednostki charakter postępowania nie można zatem wykluczyć zastosowania w konkretnych okolicznościach sprawy art. 81a § 1 k.p.a., a zatem rozstrzygnięcia niedających się usunąć wątpliwości co do stanu faktycznego na korzyść strony i przyjęcia, że termin przedawnienia biegnie od chwili stanowiącej początek tego okresu" (A. Cebera, J. G. Firlus [w:] Kodeks postępowania administracyjnego. Komentarz, wyd. III, red. H. Knysiak-Sudyka, Warszawa 2023, art. 189g). Sąd w składzie rozpoznającym niniejszą sprawę w całości podziela powyższe stanowisko, uznając, że w przypadku gdy nie można ustalić konkretnej daty, w której upłynął termin do wykonania obowiązku określonego w art. 34 ust. 1 rozporządzenia nr 2016/679, na potrzeby ustalania rozpoczęcia biegu terminu przedawnienia należy przyjąć, że datę naruszenia stanowi początek okresu, w którym obowiązek ten miał zostać wykonany, tj. w niniejszej sprawie [...] listopada 2018 r. Termin przedawnienia nałożenia kary pieniężnej za naruszenie tego przepisu upłynął w konsekwencji w dniu [...] listopada 2023 r.
Z tych przyczyn Sąd uznał, że nakładając na skarżącą administracyjną karę pieniężną w dniu [...] marca 2024 r., organ naruszył art. 189g § 1 k.p.a. w zw. z art. 189a § 1 k.p.a., co skutkowało koniecznością uchylenia zaskarżonej decyzji w zakresie jej pkt 1. Biorąc pod uwagę, że organ nie był uprawniony do nałożenia na skarżącą administracyjnej kary pieniężnej po upływie terminu przedawnienia, zbędne było odnoszenie się przez Sąd do pozostałych zarzutów skargi dotyczących zarówno zasadności nałożenia kary pieniężnej, jak i ustalenia jej wysokości.
Biorąc wszystkie powyższe okoliczności pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a) ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z
2024 r., poz. 935 ze zm., powoływanej dalej jako p.p.s.a.), orzekł jak w pkt 1 sentencji. Sąd oddalił skargę w pozostałym zakresie w pkt 2 sentencji na podstawie art. 151 p.p.s.a.
O kosztach postępowania w pkt 3 sentencji Sąd orzekł na podstawie art. 200 i art. 205 § 2 p.p.s.a. w zw. z § 14 ust. 1 pkt 1 lit. a) w zw. z § 2 pkt 7 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2023 r., poz. 1935 ze zm.). Do kosztów tych Sąd zaliczył uiszczony przez skarżącą wpis od skargi w wysokości 14406 zł oraz wynagrodzenie radcy prawnego reprezentującego skarżącą (10800 zł).