II SA/Wa 863/24

II SA/Wa 863/24 - Wyrok WSA w Warszawie
Data orzeczenia
2024-10-24
orzeczenie nieprawomocne
Data wpływu
2024-06-05
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Radziszewska-Krupa
Łukasz Krzycki /przewodniczący/
Mateusz Rogala /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1, art. 4 pkt 2 i 12, art. 5 ust. 1 lit. a) i f), art. 58 ust. 2 lit. b), art. 83 ust. 2,
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki, Sędzia WSA Ewa Radziszewska-Krupa, Asesor WSA Mateusz Rogala (spr.), Protokolant starszy specjalista Bogumiła Kobierska po rozpoznaniu na rozprawie w dniu 24 października 2024 r. sprawy ze skargi Banku [...] S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] marca 2024 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm., powoływanej dalej jako k.p.a.) w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz 6 ust. 1 i art. 58 ust. 2 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ogólne rozporządzenie o ochronie danych (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm., powoływanego dalej jako rozporządzenie nr 2016/679), po przeprowadzeniu postępowania w sprawie skargi S. C. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank [...] S.A. z siedzibą w W., udzielił Bankowi [...] S.A. upomnienia za naruszenie art. 6 ust. 1 rozporządzenia nr 2016/679 polegające na udostępnieniu danych osobowych S. C. w zakresie zawartym w wyciągu, obejmującym historię rachunku bankowego S. C. podmiotowi nieuprawnionemu w dniu [...] marca 2021 r.
W uzasadnieniu decyzji organ podniósł, że w S. C. w skierowanej do organu skardze podał, że w związku ze złożeniem przez niego wniosku o udzielenie kredytu hipotecznego w Banku [...] S.A. w dniu [...] marca 2021 r. złożył w oddziale banku zlecenie wykonania operatu szacunkowego, który miał wykonać podmiot [...]Sp. z o.o. sp. k. z siedzibą w P.. W dniu [...] marca 2021 r. skarżący zadzwonił do tej spółki celem uzyskania informacji o terminach sporządzenia operatu. Wówczas uzyskał informację, że bank wraz ze zleceniem przekazał do firmy blisko czteromiesięczny wyciąg z jego rachunku bankowego. Skarżący dokonał zgłoszenia naruszenia jego danych osobowych do banku, żądając wyjaśnień w tej sprawie. W odpowiedzi z dnia [...] kwietnia 2021 r. bank potwierdził, że doszło do naruszenia, wskazał jednak, że niezwłocznie zwrócił się do spółki [...]o trwałe usunięcie pliku z wyciągiem z konta bankowego skarżącego. Bank wskazał także, że w związku z tym, iż spółka jest stałym współpracownikiem banku, była ona uprawniona do przetwarzania jego danych osobowych. Na podstawie umowy [...]jest zobowiązana do zachowania poufności oraz zapewnienia, że dostęp do informacji prawnie chronionych uzyskanych w związku z wykonywaniem umowy mają wyłącznie osoby bezpośrednio zaangażowane przy jej wykonywaniu, a osoby takie przestrzegają zasad dotyczących tajemnicy bankowej i ochrony danych osobowych i będą je wykorzystywać wyłącznie w celu wykonywania umowy.
Zdaniem skarżącego, doszło do poważnego naruszenia jego prawa, a ujawnienie nieuprawnionemu podmiotowi danych z jego wyciągu bankowego (obejmującego 180 transakcji) wywołało bardzo wysokie ryzyko naruszenia jego praw i wolności, które mogło spowodować nieodwracalne konsekwencje dla jego danych osobowych. Skarżący wskazał również, że zaistniałe zdarzenie spowodowało wiele negatywnych skutków.
W toku postępowania bank wyjaśnił, że pozyskał dane osobowe skarżącego bezpośrednio od niego oraz z [...] S.A. w związku ze złożonym przez skarżącego zapytaniem kredytowym. Bank poinformował, w jakich celach aktualnie przetwarza dane osobowe skarżącego.
Bank wyjaśnił następnie, że do zdarzenia polegającego na udostępnieniu danych osobowych podmiotowi nieuprawnionemu doszło w dniu [...] marca 2021 r. w wyniku błędu pracownika banku wprowadzającego do systemu dokumenty związane ze złożonym przez skarżącego wnioskiem. Błąd pracownika polegał na podpięciu pod sekcję "prospekt informacyjny oraz umowa przedwstępna" dokumentu stanowiącego historię transakcji skarżącego z rachunku prowadzonego przez [...]S.A. z okresu [...].12.20 r. -
22.03.21 r. Wyciąg ten został wysłany wraz ze zleceniem na wykonanie operatu szacunkowego nieruchomości do spółki [...]. Bank wskazał, że ze spółką ma podpisaną umowę z dnia [...] lipca 2020 r. w zakresie określenia zasad współpracy, w szczególności w zakresie szacowania wartości nieruchomości, na podstawie której spółka ta jest zobowiązana do zachowania poufności oraz zapewnienia, że dostęp do informacji prawnie chronionych mają jedynie osoby związane z wykonywaniem umowy, osoby bezpośrednio zaangażowane przy jej wykonaniu, a osoby te przestrzegają zasad dotyczących tajemnicy bankowej i ochrony danych osobowych i będą je wykorzystywać jedynie w celu wykonania umowy. Po zdarzeniu bank zwrócił się do spółki o usunięcie załącznika z zasobów firmowych i w dniu [...] kwietnia 2021 r. otrzymał pisemne oświadczenie spółki o trwałym usunięciu danych oraz w przedmiocie braku przekazania ww. wyciągu poza infrastrukturę spółki. Bank wyjaśnił, że w związku z tym, iż spółka jest zaufanym podmiotem, z którym bank współpracuje, na etapie sporządzenia kalkulatora oceniającego ryzyko naruszenia ochrony danych skarżącego, bank podjął decyzję o braku obowiązku zgłoszenia zdarzenia do urzędu jako naruszenia ochrony danych osobowych. Bank, wskutek ww. zdarzenia, podjął działania prewencyjne, które miały zmierzać do uniknięcia podobnych sytuacji w przyszłości, w postaci rozmowy z pracownikiem, który błędnie załączył dokumenty, precyzyjnie zdefiniował procesy dotyczące sporządzania dokumentów, sposób ich obiegu w tym przekazywania podmiotom współpracującym oraz przeprowadził w sieci sprzedaży kompleksowe działania uświadamiające związane z aspektem bezpieczeństwa danych klientów w tym w szczególności danych osobowych.
W dalszej części uzasadnienia swojego rozstrzygnięcia organ stwierdził, że w ramach obowiązującej bank i [...]umowy, bank powierzył spółce wykonywanie w imieniu i na rzecz banku usług, w tym czynności faktycznych w rozumieniu art. 6a ust. 1 pkt 2 Prawa bankowego. Bank w zakresie przysługujących mu na gruncie RODO uprawnień, jako administrator danych, zawarł ze Spółką umowę o współpracy z dnia [...] lipca 2020 r, w szczególności w zakresie szacowania rynkowej aktualnej wartości nieruchomości, przyszłej wartości nieruchomości i kosztu odtworzenia budynków, która może być przedmiotem kredytowania przez bank. W umowie tej zawarte zostały postanowienia dotyczące powierzenia przez bank na rzecz spółki przetwarzania danych osobowych klientów na podstawie art. 28 ust. 3 rozporządzenia nr 2016/679. Tym samym, stosownie do art. 28 ust. 3 rozporządzenia, spółka mogła przetwarzać dane osobowe skarżącego w zakresie, w jakim bank powierzył jej te dane do przetwarzania, wynikającym z zawartej z bankiem umowy powierzenia przetwarzania, niezbędnym do realizacji przez spółkę zlecenia na rzecz banku. Z § 3 umowy wynika natomiast, że bank zobowiązuje się udostępnić za zgodą i na zlecenie klienta dokumenty oraz dane konieczne do zawarcia oraz wykonania zlecenia, jakim jest wykonanie operatu szacunkowego. Załącznik nr 3 do umowy zawartej pomiędzy bankiem a spółką zawiera listę dokumentów niezbędnych do wykonania zlecenia operatu szacunkowego, jednak wśród tych dokumentów nie został wymieniony wyciąg z rachunku bankowego klienta banku. Bank nie wykazał ponadto, by skarżący wyraził zgodę na udostępnienie spółce danych osobowych skarżącego, zawartych w wyciągu z rachunku bankowego. Ponadto w ocenie organu udostępnienie przez bank danych osobowych skarżącego zawartych w wyciągu z jego rachunku bankowego nie było niezbędne do wykonania operatu. Ponadto sam bank przyznał, że udostępnienie ww. dokumentu z danymi osobowymi nastąpiło w wyniku pomyłki pracownika banku.
Z tych przyczyn organ uznał, że w sprawie doszło do naruszenia art. 6 ust. 1 rozporządzenia nr 2016/679, ponieważ doszło do udostępnienia przez bank na rzecz spółki danych osobowych skarżącego, zawartych w wyciągu z jego rachunku bankowego bez podstawy prawnej. Odnośnie powyższego udostępnienia bank nie legitymował się żadną z przesłanek legalizujących ten proces, o których mowa w art. 6 ust. 1 rozporządzenia. W ocenie organu, usprawiedliwienia dla powyższego udostępnienia nie może stanowić fakt, że na podstawie umowy spółka [...]jest zobowiązana do zachowania poufności oraz zapewnienia, że dostęp do informacji prawnie chronionych maja jedynie osoby związane z wykonywaniem umowy, osoby bezpośrednio zaangażowane przy jej wykonaniu, a osoby te przestrzegają zasad dotyczących tajemnicy bankowej i ochrony danych osobowych i będą je wykorzystywać jedynie w celu wykonania umowy. Udostępnienie danych osobowych skarżącego w postaci wyciągu z rachunku bankowego nie znajdowało bowiem uzasadnienia w jakiejkolwiek z przesłanek wskazanych w art. 6 ust. 1 rozporządzenia nr 2016/679 i zostało dokonane również z naruszeniem zasady zgodności z prawem oraz poufności, o których mowa w art. 5 ust. 1 lit. a) oraz f) rozporządzenia.
Wobec tego, że naruszenie przepisów, do którego doszło w niniejszej sprawie, polegające na nieuprawnionym udostępnieniu danych osobowych skarżącego miało charakter jednorazowy i nieodwracalny, organ skorzystał z uprawnienia wskazanego w art. 58 ust. 2 lit. b) rozporządzenia nr 2016/679 i udzielił bankowi upomnienia.
Bank [...] S.A. złożył na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, zaskarżając ją w całości i wnosząc o jej uchylenie w całości, rozpoznanie sprawy na rozprawie, a także o zasądzenie kosztów postępowania. Strona skarżąca wniosła również o dopuszczenie i przeprowadzenie dowodu uzupełniającego z dokumentu tj. zestawienia zleceń wykonania operatu szacunkowego w latach 2021-2023, na okoliczność wykazania liczby zleceń wykonania operatu szacunkowego do podmiotów odpowiedzialnych za przygotowanie tego rodzaju operatów na zlecenie banku, w tym do podmiotu współpracującego oraz dla zobrazowania udziału przedmiotowego incydentu w ogólnej liczbie tego rodzaju zleceń banku.
Strona skarżąca zarzuciła organowi naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj.:
1. art. 4 pkt 12 w zw. z art. 4 pkt 2 rozporządzenia nr 2016/679, poprzez ich błędną wykładnię, polegającą na utożsamieniu zdarzenia stanowiącego skutek naruszenia ochrony danych osobowych (w rozumieniu art. 4 pkt 12 rozporządzenia) z operacją przetwarzania danych osobowych (w rozumieniu art. 4 pkt 2 rozporządzenia), w sytuacji, gdy omyłkowe przekazanie nadmiarowych danych osobowych podmiotowi trzeciemu stanowi skutek naruszenia, natomiast nie stanowi operacji przetwarzania;
2. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. a) rozporządzenia nr 2016/679, poprzez ich niewłaściwe zastosowanie w niniejszej sprawie i ocenę zdarzenia stanowiącego skutek naruszenia ochrony danych osobowych przez pryzmat przesłanek legalizujących (podstaw prawnych) przetwarzanie danych osobowych, w sytuacji, gdy art. 6 ust. 1 rozporządzenia nr 2016/679 (oraz "zasadę zgodności z prawem" ujętą w art. 5 ust. 1 lit. a rozporządzenia) odnosić należy wyłącznie do operacji przetwarzania danych osobowych (tym samym przepisy te nie powinny znajdować zastosowania w niniejszej sprawie), jako że skutki naruszeń ochrony danych osobowych ze swej istoty nie posiadają podstawy prawnej;
3. art. 77 ust. 1 w zw. z art. 58 ust. 2 rozporządzenia nr 2016/679 poprzez błędną wykładnię, która doprowadziła organ do uznania, że w następstwie skargi podmiotu danych, wniesionej w związku z wystąpieniem naruszenia ochrony danych osobowych, organ musi zastosować władcze rozstrzygnięcie, podczas gdy organ mógł zastosować innych środek naprawczy lub umorzyć postępowanie administracyjne z uwagi na jego bezprzedmiotowość;
4. art. 58 ust. 2 lit. b) rozporządzenia nr 2016/679 w zw. z motywami 129 oraz 148 preambuły do rozporządzenia nr 2016/679 (na wypadek nieuwzględnienia zarzutów z pkt 1-3), poprzez ich niewłaściwe zastosowanie i uznanie, że nałożone na bank upomnienie - w okolicznościach sprawy - stanowi środek naprawczy odpowiedni, niezbędny oraz proporcjonalny, w sytuacji gdy upomnienie to nie spełnia żadnej z tych przesłanek; powyższe naruszenia przepisów prawa materialnego wpłynęły na decyzję organu i doprowadziły do błędnego przyjęcia, że omyłkowe przekazanie przez bank nadmiarowych danych osobowych podmiotowi trzeciemu, będącemu stałym kontrahentem banku, w okolicznościach sprawy, stanowi celowe udostępnienie (przetwarzanie) danych osobowych, które zostało dokonane bez podstawy prawnej oraz w rezultacie uprawnia organ do nałożenia na bank środka naprawczego w postaci upomnienia;
5. art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679 poprzez jego błędną wykładnię, polegającą na uznaniu, że przekazanie nadmiarowych danych osobowych podmiotowi współpracującemu, na skutek błędu pracownika banku, przesądza o naruszeniu art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679 (zasada "integralności i poufności").
Strona skarżąca postawiła również zarzuty naruszenia prawa procesowego, które miało istotny wpływ na wynik sprawy, tj.:
1. art. 7, art. 77 § 1 oraz art. 80 k.p.a., poprzez brak wnikliwego i wszechstronnego wyjaśnienia stanu faktycznego sprawy i rozważenia całokształtu zebranego materiału oraz zbadania wszystkich okoliczności istotnych dla prawidłowego rozstrzygnięcia sprawy, a w szczególności poprzez błędne przyjęcie w sposób niemający umocowania w materiale dowodowym zgromadzonym w sprawie, że bank dopuścił się naruszenia art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679, tj. zasady bezpieczeństwa ("integralności i poufności") danych osobowych, podczas gdy organ nie badał w żaden sposób czy bank wdrożył środki techniczne i organizacyjne zapewniające odpowiednie bezpieczeństwo danych osobowych zgodnie z wymogami rozporządzenia nr 2016/679 - a w konsekwencji tego uchybienia, doszło do wydania zaskarżonej decyzji w oparciu o błędne założenia natury faktycznej i prawnej oraz dokonanie niepełnych i nieprecyzyjnych zarazem ustaleń w zakresie naruszenia przez bank zasady bezpieczeństwa (poufności) danych osobowych, podczas gdy prawidłowa ocena zebranego w sprawie materiału dowodowego powinna doprowadzić organ do wniosku, że bank nie dopuścił się naruszenia tej zasady;
2. art. 8 § 1 i 2 k.p.a., poprzez odstąpienie przez organ bez uzasadnionej przyczyny od utrwalonej praktyki rozstrzygania spraw w takim samym lub zbliżonym stanie faktycznym i prawnym oraz w rezultacie udzielenie bankowi upomnienia, w sytuacji gdy w świetle orzecznictwa sądów administracyjnych oraz decyzji organu środek nałożony zaskarżoną decyzją jest nadmierny i nieproporcjonalny w stosunku do charakteru naruszenia, a ponadto narusza on zasadę równego traktowania banku oraz innych administratorów danych;
3. art. 107 § 3 k.p.a. w zw. z art. 8, art. 11 oraz art. 80 k.p.a., poprzez zaniechanie wskazania i wyjaśnienia w uzasadnieniu zaskarżonej decyzji, z jakich przyczyn i na jakiej podstawie organ przyjął, że: bank dopuścił się naruszenia art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679 oraz ujętej w nim zasady bezpieczeństwa (integralności i poufności) danych osobowych; niezbędne jest udzielenie bankowi upomnienia, przy braku wyjaśnienia, jakimi przesłankami organ kierował się w tym zakresie; co miało istotny wpływ na wynik sprawy wobec: braku możliwości oceny motywów, jakimi kierował się organ przy wydaniu zaskarżonej decyzji oraz przy nałożeniu środka w postaci upomnienia, ograniczenia się przez organ do arbitralnego stwierdzenia, że bank dopuścił się naruszenia przepisów art. 5 ust. 1 lit. a) oraz lit. f) rozporządzenia nr 2016/679, z tego jedynie powodu (jak należy wnosić), że wystąpił skutek w postaci omyłkowego przekazania nadmiarowych danych osobowych, co dodatkowo stanowi o naruszeniu przez organ zasady przekonywania i pogłębiania zaufania do władzy publicznej; a w konsekwencji uniemożliwienie przeprowadzenia kontroli poprawności i spójności wywodu i rozumowania organu oraz rzetelnego zaskarżenia decyzji.
W uzasadnieniu skargi skarżąca podkreśliła, że nieuprawnione ujawnienie (przekazanie) nadmiarowych danych osobowych klienta spółce [...]zostało błędnie zakwalifikowane przez organ, co skutkowało niewłaściwą jego oceną oraz w efekcie - błędnym rozstrzygnięciem. Przedmiotowe zdarzenie stanowi bowiem "naruszenie ochrony danych osobowych" w rozumieniu art. 4 pkt 12 rozporządzenia nr 2016/679. Zdarzenie stanowiące naruszenie ochrony danych osobowych ze swej istoty nie znajduje oparcia w przesłankach legalizujących przetwarzanie danych osobowych wynikających z rozporządzenia nr 2016/679. Gdyby bowiem znajdowało takie oparcie, nie stanowiłoby wówczas naruszenia. Naruszenie ochrony danych to zdarzenie przyszłe, niepewne i niebędące efektem celowego działania administratora (zdarzenie niepożądane). Zdarzenie takie nie stanowi planowanego procesu przetwarzania danych, co oznacza, że jest to sytuacja niezamierzona.
Zdaniem banku, w postępowaniu zainicjowanym indywidualną skargą organ właściwy do spraw ochrony danych osobowych może dokonać wyłącznie oceny legalności przetwarzania danych osobowych. Natomiast inne kwestie, takie jak chociażby stosowane przez administratora danych w procesach przetwarzania praktyki, w tym sposoby zabezpieczeń danych, jak również adekwatność oraz skuteczność określonych środków bezpieczeństwa, mogą być wyłącznie przedmiotem postępowania wszczętego przez organ z urzędu. A zatem, w związku z brakiem zasadności do oparcia nieuprawnionego ujawnienia danych (tj. naruszenia ochrony danych) o przesłanki legalności przetwarzania danych, przy jednoczesnym braku możliwości badania innych kwestii w postępowaniu skargowym, w ocenie skarżącego, organ nie był uprawniony do przesądzenia, że doszło w sprawie do naruszenia przepisów rozporządzenia nr 2016/679, a tym samym organ nie miał podstaw do zastosowania przewidzianych prawem sankcji oraz/lub skorzystania z uprawnień, w tym w szczególności do nałożenia upomnienia. W konsekwencji organ powinien umorzyć postępowanie w tej sprawie.
Strona skarżąca zwróciła również uwagę na fakultatywny charakter środka naprawczego, jakim jest upomnienie. Ponadto upomnienie nałożone przez organ w niniejszej sprawie nie ma charakteru naprawczego, nie wynika bowiem z niego jakie ewentualne nieprawidłowości powinien wyeliminować bank.
Skarżąca podkreśliła, że organ nie badał na etapie postępowania administracyjnego wdrożonych przez bank środków technicznych i organizacyjnych, a w konsekwencji zaskarżoną decyzją nie zakwestionował żadnego z wdrożonych przez bank środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych osobowych. W szczególności organ nie wskazał na ich nieadekwatność lub nieodpowiedniość względem poziomu ryzyka.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
W piśmie procesowym z dnia [...] października 2024 r. strona skarżąca podtrzymała dotychczasowe stanowisko w sprawie, przedstawiając dodatkową argumentację na jej poparcie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie zasługuje na uwzględnienie.
Postępowanie administracyjne w tej sprawie zostało wszczęte wnioskiem S. C. z dnia [...] lipca 2023 r., w którym zwrócił się on do Prezesa Urzędu Ochrony Danych Osobowych ze skargą na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank [...] S.A. polegające udostępnieniu w dniu [...] marca 2021 r. jego danych osobowych w zakresie zawartym w wyciągu bankowym podmiotowi nieuprawnionemu.
W ocenie Sądu, organ prawidłowo zgromadził materiał dowodowy niezbędny do rozpatrzenia niniejszej sprawy, a następnie na jego podstawie właściwie ustalił stan faktyczny sprawy, co z kolei skutkowało prawidłowym zastosowaniem przepisów prawa materialnego. Postawione w skardze zarzuty naruszenia zarówno przepisów postępowania, jak i przepisów prawa materialnego nie zasługiwały zatem na uwzględnienie.
W istocie, co wymaga podkreślenia, nie jest kwestionowane przez żadną ze stron, że w dniu [...] marca 2021 r. doszło, na skutek błędu pracownika skarżącej, do nieuprawnionego ujawnienia danych osobowych S. C. w postaci wyciągów z jego rachunku bankowego podmiotowi nieuprawnionemu, tj. [...]Sp. z o.o. sp. k. Nie jest również sporny zakres udostępnionych danych osobowych. Skarżąca nie twierdzi także, by istniała jakakolwiek podstawa prawna, która upoważniałaby ją do przekazania danych osobowych uczestnika postępowania spółce [...]w omawianym zakresie.
Zarzuty skargi dotyczą natomiast po pierwsze tego, że zdaniem skarżącej, organ nieprawidłowo zakwalifikował powyższe zdarzenie jako naruszenie art. 6 ust. 1 rozporządzenia nr 2016/679 (tj. naruszenie dotyczące przetwarzania danych osobowych), podczas gdy stanowiło ono naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia nr 2016/679. Po drugie, skarżąca kwestionuje zastosowanie przez organ środka naprawczego w postaci upomnienia, a po trzecie, kwestionuje ocenę organu, że zdarzenie będące przedmiotem postępowania, stanowi naruszenie określonej w art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679 zasady integralności i poufności.
Odnosząc się do powyższych zarzutów, Sąd stwierdza, że nie są one zasadne.
Jak stanowi art. 4 pkt 12 rozporządzenia nr 2016/679, naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Z kolei w myśl art. 4 pkt 2 rozporządzenia nr 2016/679, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Jak wynika z powyższego, każde ujawnienie danych osobowych przez administratora (w tym również – tak jak miało to miejsce w niniejszej sprawie - polegające na ich przesłaniu) stanowi proces przetwarzania danych osobowych w rozumieniu art. 4 pkt 2 rozporządzenia nr 2016/679. Jeśli takiemu ujawnieniu można przypisać cechę bycia nieuprawnionym, wówczas będziemy mieli do czynienia z naruszeniem ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia. Jedynie w przypadku, gdy ujawnienie danych osobowych będzie skutkiem działania osób trzecich (a nie administratora danych) wystąpi sytuacja, w której naruszenie ochrony danych osobowych nastąpi wskutek działania niestanowiącego jednocześnie procesu przetwarzania danych osobowych przez administratora.
Jak jednak wynika z opisanego przez organ i niekwestionowanego przez skarżącą przebiegu zdarzenia, w niniejszej sprawie do nieuprawnionego ujawnienia danych osobowych uczestnika postępowania doszło w wyniku błędu pracownika skarżącej. Był to zatem efekt działania administratora, choć było to działanie o charakterze przypadkowym. Z tej przyczyny organ prawidłowo zakwalifikował powyższe zdarzenie jako przetwarzanie danych osobowych bez podstawy prawnej. Nie budzi bowiem wątpliwości, że w niniejszej sprawie doszło do ujawnienia danych osobowych (a więc ich przetwarzania) w zakresie wykraczającym poza cel wynikający z umowy zawartej pomiędzy bankiem a spółką [...]. Ujawnienie danych osobowych uczestnika postępowania naruszało zatem art. 6 ust. 1 rozporządzenia nr 2016/679, co prawidłowo stwierdził organ. Powyższy przepis określa bowiem warunki, jakie muszą być spełnione, aby przetwarzanie danych osobowych mogło być uznane za zgodne z prawem. W rozpoznawanej sprawie przetwarzanie danych osobowych (polegające na ich ujawnieniu) nie mieściło się w katalogu zawartym w tym przepisie.
Opisane działanie administratora stanowiło również naruszenie zasad przetwarzania danych: zgodności z prawem, integralności i poufności danych. Zgodnie z art. 5 ust. 1 lit. a) rozporządzenia nr 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. W niniejszej sprawie doszło do nieuprawnionego ujawnienia danych osobowych klienta banku, zatem dane nie były w tym zakresie przetwarzane zgodnie z prawem. Z kolei w myśl art. 5 ust. 1 lit. f) rozporządzenia nr 2016/679, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W rozpoznawanej sprawie fakt ujawnienia podmiotowi nieuprawnionemu danych osobowych strony świadczy o naruszeniu powyższej zasady, bowiem dane powinny być chronione nie tylko przed ich celowym ujawnieniem, lecz również przypadkowym udostępnieniem innym podmiotom (tak jak miało to miejsce w tej sprawie).
Jak słusznie zauważył organ w rozpoznawanej sprawie, zainicjowanej skargą S. C., organ nie prowadził postępowania w celu ustalenia, czy stosowana przez bank polityka bezpieczeństwa danych jest efektywna oraz czy stwierdzone naruszenie jest elementem szerszego problemu z zapewnieniem bezpieczeństwa danych. W niniejszym postępowaniu – jak już zostało wskazane – organ oceniał natomiast wyłącznie legalność procesu przetwarzania danych osobowych w zakresie wskazanym w skardze, a po stwierdzeniu, że doszło do naruszenia przepisów regulujących przetwarzanie danych osobowych organ był uprawniony do zastosowania środków naprawczych przewidzianych w art. 58 ust. 2 lit. b) rozporządzenia nr 2016/679. Niezasadne są z tej przyczyny zarzuty skargi dotyczące nieprawidłowego zebrania i rozpatrzenia materiału dowodowego, naruszenia zasady zaufania do władzy publicznej (art. 8 k.p.a.). Z tych również względów Sąd nie uwzględnił złożonego w skardze wniosku dowodowego. Przedmiotem oceny Sądu w tej sprawie była bowiem decyzja organu, który badał legalność przetwarzania danych osobowych S. C. w związku ze zdarzeniem, które miało miejsce w dniu [...] marca 2021 r., a nie sposób postępowania banku z danymi osobowymi innych klientów przy okazji innych procesów przetwarzania danych osobowych.
W ocenie Sądu, organ prawidłowo zastosował również przepisy dotyczące udzielenia upomnienia, a swoje rozstrzygnięcie w tym zakresie w sposób wystarczający uzasadnił. Prawodawca europejski w art. 83 ust. 2 rozporządzenia nr 2016/679 określił szczegółowo, jakie okoliczności powinny być brane pod uwagę przy wymierzaniu przez organ nadzorczy administracyjnych kar pieniężnych. Z kolei zastosowanie przez organ środka przewidzianego w art. 58 ust. 2 lit. b) rozporządzenia nie wymaga dokonywania tego rodzaju szczegółowej analizy okoliczności związanych z naruszeniem przepisów o ochronie danych osobowych.
W rozpoznawanej sprawie niewątpliwie doszło do ujawnienia danych osobowych uczestnika postępowania podmiotowi, który nie był uprawniony do ich otrzymania. Charakter ujawnionych danych (informacje finansowe, dotyczące źródeł dochodów, miejsca pracy, ponoszonych wydatków, adresów, w których strona przebywała), świadczą o tym, że zdarzenie mogło wywołać negatywne konsekwencje dla strony, pomimo że podmiot który otrzymał dane był zobowiązany do zachowania ich w poufności i na żądanie banku dane niezwłocznie usunął. W ocenie Sądu, z uwagi na powyższe okoliczności zastosowany przez organ środek w postaci upomnienia jest adekwatny do skali naruszenia.
Biorąc pod uwagę powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm.), orzekł jak w sentencji.