II SA/Wa 716/23
WyrokWSA w Warszawie2024-02-14
Skład orzekający: Tomasz Szmydt, Ewa Radziszewska-Krupa, Arkadiusz Koziarski
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy ujawnienie danych osobowych podmiotom nieupoważnionym w wyniku niezabezpieczenia serwera przez zewnętrznego dostawcę usług stanowi naruszenie przepisów o ochronie danych osobowych przez administratora danych, uzasadniające nałożenie upomnienia?Ratio decidendi
Administrator danych ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych, w tym zasadę poufności, jeśli dane osobowe zostały ujawnione nieupoważnionym podmiotom w wyniku niezastosowania odpowiednich środków technicznych i organizacyjnych, nawet jeśli naruszenie nastąpiło w środowisku informatycznym podmiotu przetwarzającego. Brak przeprowadzenia analizy ryzyka i wdrożenia adekwatnych zabezpieczeń stanowi podstawę do nałożenia upomnienia.Stan faktyczny
Spółka powierzyła przetwarzanie danych osobowych swoich klientów zewnętrznemu dostawcy usług cyfrowego archiwum. W wyniku niezabezpieczenia hasłem jednego z portów serwera przez dostawcę, doszło do nieuprawnionego dostępu i potencjalnego skopiowania danych osobowych klientów, w tym skarżącej. Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na spółkę upomnienie za naruszenie przepisów o ochronie danych osobowych. Spółka wniosła skargę, zarzucając m.in. naruszenie przepisów proceduralnych i materialnych, kwestionując przypisanie jej odpowiedzialności za naruszenie bezpieczeństwa danych.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Tomasz Szmydt (spr.), Sędzia WSA Ewa Radziszewska-Krupa, Asesor WSA Arkadiusz Koziarski, po rozpoznaniu w trybie uproszczonym w dniu 14 lutego 2024 r. sprawy ze skargi [...] S. A. zs. w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
[...] S.A. w G. wniosła skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2023r.wydaną w przedmiocie przetwarzania danych osobowych.
Prezes UODO udzielił [...]S.A. z siedzibą w G., upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia [...], polegające na ujawnieniu danych osobowych Pani E. K., podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...]S.A.
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga E. K. (zwaną dalej Skarżącą), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...]S.A. z siedzibą w G. (zwaną dalej "Spółką", "[...]"), polegające na naruszeniu ochrony danych osobowych Skarżącej poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...]S.A.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych, zwany dalej także Prezesem UODO, ustalił następujący stan faktyczny:
1. Skarżąca jest klientem Spółki, która prowadzi działalność w zakresie sprzedaży i dostawy energii elektrycznej i paliwa gazowego (dowód: pismo Skarżącej z ....06.2020 r.);
2. Dnia ....05.2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z P. sp. z o.o., z którą łączy ją również wcześniej zawarta umowa o współpracy (dowód: kopia umowy powierzenia przetwarzania danych zawartej pomiędzy Spółką a P. sp. z o.o. z ....05.2018 r.);
3. Na podstawie ww. umów P. sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki (dowód: załącznik pisma Dyrektora Departamentu Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych z ...06.2021 r. w postaci załącznika nr 1 do umowy powierzenia przetwarzania danych z ....05.2018 r.);
4. Dnia ....04.2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od ....04.2020 r. do ....04.2020 r. (dowód: wyjaśnienia Spółki z ....08.2020 r.);
5. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez P. sp. z o.o. (dowód: wyjaśnienia Spółki z ....08.2020 r.);
6. Dnia ....04.2020 r. Spółka zgłosiła ww. naruszenie do Prezesa UODO (dowód: wyjaśnienia Spółki z ....08.2020 r.);
7. Pismem z ...05.2020 r. Spółka poinformowała Skarżącą o ww. incydencie
(dowód: pismo Skarżącej z ....06.2020 r. wraz z załącznikiem):
8. Spółka ustaliła, że w przypadku Skarżącej doszło do naruszenia poufności
danych osobowych w zakresie imienia, nazwiska i numeru PESEL (dowód:
wyjaśnienia Spółki z ....08.2020 r.);
9. W związku z powyższym wyciekiem danych osobowych Spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w G. - Wydział I Śledczy Dział do Prowadzenia i Nadzorowania Spraw o Przestępstwa z Wykorzystaniem Internetu oraz Zaawansowanych Technologii i Systemów Informatycznych, Komendę Wojewódzką Policji w G. - Wydział do Walki z Cyberprzestępczością oraz NASK/CERT Polska (dowód: wyjaśnienia Spółki z ....08.2020 r.);
10. W prowadzonym przez Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych postępowaniu pod sygnaturą [...]ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu [...]dnia ....04.2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od ....04.2020 r. godz. 23:00 do ....04.2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB (dowód: pismo Dyrektora Departamentu Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych z ....06.2021r.).
Prezes UODO wskazał, iż rozporządzenie [...]określa obowiązki administratora danych, do których należy m.in. przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 rozporządzenia [...], zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie.
Zebrany w sprawie materiał dowodowy wykazał, że Skarżąca jest klientem Spółki, wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jej danych osobowych stanowi art. 6 ust. 1 lit. b rozporządzenia [...], zgodnie z którym przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 rozporządzenia [...]. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 rozporządzenia [...]wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Prezes UODO wskazał, iż kluczowym w niniejszym postępowaniu jest jednak fakt, że przedmiotem swojej skargi Skarżąca uczyniła samo naruszenie ochrony jej danych osobowych, nie zaś legalność ich pozyskania i przetwarzania.
Dnia ....05.2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z P. sp. z 0.0., z którą łączy ją również wcześniej zawarta umowa o współpracy. Na podstawie ww. umowy P. sp. z o.o. przetwarza w imieniu Spółki dane osobowe jej klientów w celu ich przechowywania (archiwum dokumentów) wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. W relacji tej Spółka jest administratorem danych a P. sp. z o.o. podmiotem przetwarzającym.
Zgodnie z art. 4 pkt 7 i 8 rozporządzenia [...]"Administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (art. 28 ust. 3 rozporządzenia [...]). Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 rozporządzenia [...]).
Prezes UODO zwraca także uwagę na treść art. 32 rozporządzenia [...], zgodnie z którym uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się, w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust.2 rozporządzenia [...]).
Prezes UODO wskazał, że ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że w okresie od ....04.2020 r. do ....04.2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych Skarżącej, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu [...]dnia ....04.2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od ....04.2020 r. godz. 23:00 do ....04.2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych Skarżącej w zakresie imienia, nazwiska oraz numeru PESEL.
W ocenie Prezesa UODO, do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Wskazuje, że ujawnienie danych osobowych Skarżącej podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia [...]). Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych Skarżącej w sposób niezapewniający im odpowiedniego bezpieczeństwa.
Organ wskazał, iż postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej. Decyzje Prezesa UODO służą zastosowaniu uprawnień naprawczych, o których mowa w art. 58 ust. 2 rozporządzenia [...], m.in. poprzez udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania (art. 58 ust. 2 lit. b rozporządzenia [...]).
W ocenie Prezesa UODO, Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia [...]poprzez ujawnienie danych osobowych Skarżącej podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym, Prezes UODO korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b rozporządzenia [...]udzielił Spółce upomnienia.
[...]S.A. w G. wniosła skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych w przedmiocie przetwarzania danych osobowych.
1) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 7, art. 8, art. 11 w zw. z art. 107 § 3 oraz art. 77 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j. Dz. U. z 2022 r. poz. 2000 z późn. zm., dalej jako: k.p.a.) w zw. z art. 7 ust. 1 UODO, polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej Decyzji;
2) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 80 k.p.a. w zw. z art. 7 ust. 1 UODO polegające na przekroczeniu granic swobodnej oceny dowodów i - w konsekwencji - błędnym przyjęciu, że Strona Skarżąca przetwarzała dane osobowe Uczestniczki postępowania bez podstawy prawnej, podczas gdy podstawa ta istniała w postaci art. 6 ust. 1 lit b RODO, a ewentualne naruszenie poufności danych osobowych Uczestniczki postępowania nie może zostać zakwalifikowane jako ujawnienie danych przez administratora;
3) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnej jego wykładni skutkującej przyjęciem, że Strona Skarżąca przetwarzała dane osobowe Uczestniczki postępowania poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy należało rozważyć jedynie możliwość naruszenia poufności danych osobowych, w rozumieniu art. 5 ust. 1 lit f RODO w zw. z 32 RODO.
W oparciu o powyższe zarzuty strona Skarżąca wnosiła o uchylenie przedmiotowej decyzji w całości.
W pierwszej kolejności Strona Skarżąca zarzuca, że Organ błędnie powołał przepisy RODO, które rzekomo naruszyła Strona Skarżąca, czym sam naruszył art. 7, 8 i art. 11 w zw. z art. 107 § 3 k.p.a. PUODO w uzasadnieniu zaskarżonej decyzji wskazał, iż [...] dopuściła się naruszenia przepisów RODO przez ujawnienie danych osobowych Skarżącej podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W sentencji decyzji zaś PUODO orzekł, że udziela upomnienia za naruszenie przepisów art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO polegające na ujawnieniu danych osobowych Pani B. G. podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...]. Sentencja decyzji w żadnym razie zatem nie odpowiada jej uzasadnieniu. Z uzasadnienia wnioskować bowiem można, że kara upomnienia została nałożona za naruszenie poufności danych (art. 5 ust. 1 lit. f RODO), ale już z samej sentencji wynika, że dotyczy ona przetwarzania bez podstawy prawnej (art. 6 ust. 1 RODO), polegającego na ujawnieniu danych osobom nieupoważnionym.
W zakresie ustalenia stanu faktycznego sprawy strona Skarżąca wskazuje, że decyzja wydana przez PUODO w sprawie, której ustalenia faktyczne stanowiły podstawę wydania decyzji, została uchylona w wyniku kontroli sądowej przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2022 r. (sygn. akt. II SA/Wa 567/22) ze względu na istniejące poważne nieprawidłowości po stronie Organu w zakresie ustalenia stanu faktycznego. Tym samym oznacza to, że zaskarżona Decyzja Organu z dnia [...] lutego 2023 r. narusza art. 77 i 80 k.p.a., gdyż nie została oparta na prawidłowo ustalonym stanie faktycznym. Organ nie ustalił w szczególności, czy rzeczywiście i w jakim zakresie doszło do naruszenia przez Stronę Skarżącą zasady poufności z art. 5 ust. 1 lit f RODO w zw. z art. 32 i nast. RODO.
W ocenie Skarżącego, również zastosowany przez PUODO środek prawny w postaci upomnienia jest nieadekwatny i oderwany od realiów niniejszej sprawy. Zgodnie ze stanowiskiem orzecznictwa oraz wedle powszechnego rozumienia, słowo "upomnienie" oznacza czynność zwrócenia komuś uwagi - przypomnienia o obowiązkach. W uzasadnieniu skarżonej decyzji PUODO wskazał wprawdzie stan, który uznał za niepożądany, udzielając Stronie Skarżącej upomnienia (Organ określił go błędnie jako "ujawnienie danych bez podstawy prawnej"); nie wskazał jednak czy i w jakim zakresie [...] uchybiła swoim obowiązkom - poza "ujawnieniem danych", czego w istocie nie uczyniła. Jak wskazał PUODO "do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o." Nie można jednak zgodzić się z dalszą częścią wywodu PUODO, wedle której "jednak w procesie przetwarzania danych osobowych działał on (P. sp. z 0.0.) jako podmiot przetwarzający, a zatem w imieniu i na rzecz spółki ([...]). W związku z tym to Spółka ([...]) ponosi odpowiedzialność za wskazane naruszenie". Organ w płynny sposób przeszedł od "ujawnienia" danych do przypisania [...] odpowiedzialności za "naruszenie bezpieczeństwa danych osobowych", nie dokonując w tym zakresie żadnych ustaleń faktycznych. Tymczasem kwestia naruszenia przez [...] poufności danych jest przedmiotem oceny w odrębnym postępowaniu, w którym decyzja PUODO [...]została uchylona przez WSA w Warszawie.
W ocenie Strony Skarżącej, popartej stanowiskiem nie sposób przypisać prawodawcy intencji ustanowienia reguły odpowiedzialności administratora za utratę danych osobowych czy też ujawnienie danych na zasadzie ryzyka.
Przyjęcie wykładni systemowej i celowościowej przemawiają przeciw przyjętej przez organ koncepcji, jakoby zasadne było udzielenie administratorowi danych osobowych - na podstawie art. 58 ust. 2 lit. b RODO, - upomnienia wobec indywidualnych skarg w następstwie incydentów utraty danych, niezależnie od okoliczności danego zdarzenia - przyczynienia administratora. Prowadzenie nawet setek postępowań - wobec kolejnych wniosków osób poszkodowanych incydentami, gdzie może dochodzić do jednorazowej utraty tysięcy danych – stanowi bezzasadne obciążenie nie tylko dla podmiotu, od którego dane bezprawnie pozyskano (w niektórych przypadkach pomimo stosowania najwyższej klasy zabezpieczeń – braku uchybienia wymaganiom art. 32 RODO), ale jest także poważnym uszczupleniem środków publicznych, z których wszak utrzymywany jest wyspecjalizowany urząd. Prowadzenie takich postępowań administracyjnych nie służy jednocześnie eliminacji żadnych nieprawidłowości po stronie administratora.
Strona Skarżąca zarzucała zaskarżonej Decyzji także naruszenie przepisów prawa materialnego, tj. art. 6 ust. 1 RODO, polegające na błędnej jego wykładni skutkującej przyjęciem, że [...] przetwarzała dane osobowe Uczestniczki postępowania poprzez ich ujawnienie osobom nieupoważnionym, a zatem, że nastąpiło to bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy należało rozważyć jedynie możliwość naruszenia poufności danych osobowych, w rozumieniu art. 5 ust. 1 lit f RODO. W ocenie Skarżącej w żadnym wypadku w rozpatrywanej sprawie nie doszło do przetwarzania przez [...] danych osobowych bez podstawy prawnej poprzez ich ujawnienie podmiotom nieupoważnionym.
Zgodnie z art. 4 ust. 2 RODO "ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie" jest rodzajem przetwarzania danych osobowych. Oznacza to, że przetwarzanie takich danych musi spełnić wymogi z art. 6 ust. 1 RODO, co m.in. wymaga posiadania podstawy prawnej dla przetwarzania danych zgodnie z prawem. Taką podstawę posiadała też Strona Skarżąca, w postaci umowy z Uczestniczką postępowania (art. 6 ust. 1 lit. b RODO), co potwierdził również sam Organ (str. 3 skarżonej decyzji). Jak podkreśla się w orzecznictwie: pojęcie "przetwarzania" opisuje czynność. Ze swej natury musi mieć ona swojego sprawcę. Jedną z form przetwarzania danych jest zaś "ujawnienie". Nie wydaje się logicznym, aby - z woli prawodawcy - tę samą operację przetworzenia mogły realizować równocześnie dwa podmioty, choćby możliwym było nadanie jej różnych nazw. Oznacza to, że konkretna operację musi być przypisana jednemu sprawcy, zaś kilku tylko gdy współdziałają. W tym kontekście w pełni trafne jest stanowisko Spółki, gdzie podkreślano, że incydent - w postaci utraty danych - nie stanowi żadnej operacji na tychże przeprowadzonej przez samego administratora. Przetworzenie danych - w postaci ich nielegalnego pozyskania - dokonał podmiot trzeci. Wyklucza to przyjęcie, jakoby doszło do przetworzenia danych przez Spółkę jako administratora bez podstawy prawnej, jak kwalifikował to zdarzenie organ. Prawidłowość odczytania znaczenia pojęcia "przetwarzania danych osobowych przez administratora" jako zdarzenia, które musi pozostawać w bezpośrednim związku z działaniami samego administratora, potwierdza normatywne znaczenie samego określenia "administrator", jakie przypisał mu prawodawca unijny. Jest nim mianowicie osoba, która - samodzielnie lub wspólnie z innymi - ustala cele i sposoby przetwarzania danych osobowych (trak art. 4 pkt 7 RODO). Nie można więc uznać za czynność administratora zdarzenia, polegającego na nielegalnym uzyskaniu danych z jego zasobów. Odrębną kwestią jest ciążący na administratorze obowiązek zapewnienia integralność danych - ich właściwego zabezpieczenia. Rozumie się przez to zastosowanie środków adekwatnych do przewidywalnych zagrożeń (tak m.in. art. 5 ust. 1 lit. f i art. 32 RODO)" (wyrok WSA w Warszawie z dnia 23 czerwca 2022 r., sygn. akt II SA/Wa 3752/21, LEK nr 3443445, por. również wyrok WSA w Warszawie z dnia 23 czerwca 2022 r., sygn. akt II SA/Wa 3533/21, LEK nr 3443444).
W ocenie Skarżącego, celem przetwarzania danych Uczestniczki postępowania przez [...] nigdy nie było ujawnienie jej danych. Osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do danych osobowych Klientki [...] nie są zaś w żadnym razie odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. Należy więc podkreślić, że w czasie naruszenia bezpieczeństwa danych osobowych Klientki [...], tj. w okresie od [...]kwietnia 2020 r.. Strona Skarżąca przetwarzała dane osobowe Klientki [...] wyłącznie na podstawie art. 6 ust. 1 lit. b) RODO i nie dokonywała ich ujawnienia innym administratorom Dostęp do danych przez osoby nieupoważnione należałoby rozważać wyłącznie w kategoriach naruszenia art. 5 ust. 1 lit. f w zw. z art. 32 RODO, jednakże w tym zakresie Organ nie ustalił stanu faktycznego w zakresie pozwalającym na stwierdzenie, że wyżej wymienione przepisy mogą mieć zastosowanie. Jednocześnie nawet uznanie, że w rozpatrywanym stanie faktycznym mogło dojść do naruszenia bezpieczeństwa danych osobowych, nie oznacza, że [...] dokonało czynności przetwarzania poprzez ujawnienie danych osobom nieupoważnionym. Kwestię ujawnienia (w tym również udostępnienia) danych bez podstawy prawnej odróżnić należy od przypadków, gdy osoba trzecia uzyskuje dostęp do danych bez działania osoby je przetwarzającej. "Jeżeli zatem osoba trzecia złamie zabezpieczenia techniczne chroniące dane osobowe przed dostępem do nich lub ukradnie dokumenty zawierające dane osobowe, to nie będzie to udostępnienie danych osobowych. Takie sytuacje trzeba bowiem kwalifikować jako uzyskanie, niezgodnie z prawem, dostępu do danych osobowych." (D.Lubasz, W. Chomiczewski, M. Czerniawski, P. Drobek, U. Góral, M. Kuba, P. Makowski, K. Witkowska-Nowakowska, art. 4 (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, pkt 16). W niniejszej sprawie za takie przełamanie zabezpieczeń należy właśnie uznać dwa połączenia z bazą danych [...], w ramach której były przetwarzane dane osobowe Uczestniczki postępowania.
Prezes Urzędu Ochrony Danych Osobowych wnosił o oddalenie skargi w całości.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, sprawowaną pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Na podstawie art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2019.2325, zwanej dalej p.p.s.a.) Sąd przy rozstrzyganiu sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Oceniając zaskarżoną decyzję według powyższych kryteriów, uznać należy, iż była ona zgodna z prawem.
Prezes UODO udzielił [...]S.A. z siedzibą w G., upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia [...], polegające na ujawnieniu danych osobowych Pani E. K., podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...]S.A.
Dnia ....04.2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od ....04.2020 r. do ....04.2020 r. (dowód: wyjaśnienia Spółki z 06.08.2020 r.).
Spółka samodzielnie ustaliła, że w przypadku Pani E. K. doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących Umowy (numer umowy) oraz numeru punktu poboru (dowód: wyjaśnienia Spółki z ....08.2020 r, akta organu).
W związku z powyższym "wyciekiem" Spółka zawiadomiła o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w G. - Wydział I Śledczy Dział do Prowadzenia i Nadzorowania Spraw o Przestępstwa z Wykorzystaniem Internetu oraz Zaawansowanych Technologii i Systemów Informatycznych, Komendę Wojewódzką Policji w G. - Wydział do Walki z Cyberprzestępczością oraz NASK/CERT Polska. W prowadzonym przez Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych postępowaniu pod sygnaturą [...]ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu [...]dnia ....04.2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od ....04.2020 r. godz. 23:00 do ....04.2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB (dowód: pismo Dyrektora Departamentu Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych z ...06.2021 r.).
Zgodnie z art. 6 ust. 1 lit. b rozporządzenia [...], przetwarzanie jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Jak słusznie wskazał Prezes UODO, dodatkowo proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 rozporządzenia [...]. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Wspomniana zasada wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W motywie 39 rozporządzenia [...]wyjaśniono, że dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że w okresie od ....04.2020 r. do ....04.2020 r. doszło do naruszenia ochrony danych osobowych klientów Spółki, w tym danych osobowych E. K., poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu [...]dnia ....04.2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od ....04.2020 r. godz. 23:00 do ....04.2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem [...] W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Powyższy incydent doprowadził do naruszenia poufności danych osobowych Skarżącej w zakresie imienia, nazwiska, adresu, numeru PESEL oraz numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących Umowy (numer umowy) oraz numeru punktu poboru.
Prezes UODO wskazał, iż do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za wskazane naruszenie. Biorąc pod uwagę powyższe uznać należało, że ujawnienie danych osobowych Skarżącej podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia [...]). Spółka naruszyła również zasadę poufności poprzez przetwarzanie danych Skarżącej w sposób niezapewniający im odpowiedniego bezpieczeństwa.
Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia [...]poprzez ujawnienie danych osobowych Skarżącej podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym. Prezes UODO korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b rozporządzenia [...]udzielił Spółce upomnienia.
Tutaj należy podkreślić, że zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe powinny być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zasada poufności danych). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Ustęp 2 komentowanego artykułu stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane "rozliczalnością".
Przepisy nakładają na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie. W komentowanym rozporządzeniu można zaobserwować tendencję do zapewnienia administratorom większej swobody w zakresie stosowanych zabezpieczeń, z jednoczesnym zwiększeniem odpowiedzialności za naruszenia przepisów o ochronie danych. Administrator danych powinien przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia, aby móc zastosować odpowiednie środki pozwalające skutecznie zabezpieczyć przetwarzane dane.
Na gruncie komentowanego unijnego rozporządzenia pojęcie rozliczalności oznacza odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania. W literaturze przedmiotu wskazuje się, że określenie "rozliczalność" (ang. accountability) powinno być rozumiane odmiennie od dotychczas przypisywanego mu znaczenia, jako synonim ponoszenia odpowiedzialności przez administratora, co prowadzi do wniosku, że polska wersja językowa komentowanego przepisu nie odpowiada w istocie jego zamierzonej treści (P. Litwiński, P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony..., red. P. Litwiński, s. 268). Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych. Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów komentowanego rozporządzenia, zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń). Wymóg taki wynikał z krajowych przepisów wykonawczych (rozporządzenia wykonawczego do u.o.d.o.1997), jednak utrata ich mocy obowiązującej sprawiła, że wymóg taki nie jest zasadniczo obowiązkiem wyraźnie wskazanym w przepisach o ochronie danych osobowych. Informacje pozwalające wykazać przestrzeganie przepisów mogą być zawarte np. w polityce bezpieczeństwa lub w innym dokumencie, natomiast przewidziany w art. 30 obowiązek prowadzenia rejestru czynności przetwarzania ograniczony jest w tym zakresie jedynie do ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa (tak np., P.Fajgielski [w:] Komentarz do rozporządzenia nr [...]w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5.)
Wojewódzki Sąd Administracyjny podziela powyższe stanowisko. W przypadku naruszenia do którego doszło (jak w niniejszej sprawie), to na Administratorze spoczywa obowiązek wykazania, iż omówione wyżej zasady były przestrzegane. Niewątpliwe miało miejsce naruszenie ochrony danych osobowych klientów Spółki, w tym danych osobowych E. K., poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych.
Zgodnie ze stanowiskiem [...] zaprezentowanym m.in. w sprawie sygn. akt II SA/Wa 567/22 w odpowiedzi na pytanie Prezes UODO, jakie zostały przyjęte procedury dotyczące wprowadzania zmian w systemach informatycznych dostarczanych [...] danych w odpowiedzi na sygnalizowane przez nich zapotrzebowanie, [...] sp. z o.o. wskazał, że podstawowym, a tym samym obowiązującym, dokumentem regulującym obszary IT jest "Instrukcja zarządzania systemami informatycznymi". Natomiast jeśli chodzi wprowadzanie zmian w systemach [...] sp. z o.o. poszczególne Działy Pionu IT są zobowiązane do ewidencjonowania wszelkich zmian wprowadzanych w systemach w wewnętrznych systemach wspomagania zarządzania projektami i ich kontroli. Główne narzędzia to: a) zarządzanie projektem oraz zmianą [...], b) system dokumentowania (baza wiedzy) [...], c) system zarządzania repozytorium [...]. W wyżej wymienionych systemach rejestrowane są zadania do wykonania, które następnie są przydzielane do realizacji przez konkretnych inżynierów zatrudnionych przez [...] sp. z o.o. Dostęp do systemów oraz serwerów, na których te systemy pracują, odbywa się na ogólnych zasadach ujętych w "Instrukcji zarządzania systemami informatycznymi". Wyjaśniając, czy podjęte zostały działania weryfikacyjne pod kątem bezpieczeństwa środowiska informatycznego, które zostało poddane modyfikacji, [...] sp. z o.o. wskazał, że wdrażana zmiana dla [...] była na etapie kończenia testów – przed finalną walidacją przez F., a tym samym przed wdrożeniem na produkcję oraz finalnym wdrożeniem zabezpieczeń systemowych i nowej bazy danych utworzonej w oparciu o rozwiązanie [...]. Etap wdrożenia produkcyjnego i zakończenie wdrożenia zabezpieczeń był planowany na okres 15-16 kwietnia 2020 r.
Na moment stwierdzenia naruszenia ochrony danych osobowych klientów [...], na podstawie informacji przekazanej przez [...] dnia [...] kwietnia 2020 r., zmiany mające na celu usprawnienie działania systemu "[...] [...]" były jeszcze w trakcie wdrażania (tj. realizacji etapu synchronizacji podsystemu opartego o rozwiązanie [...] z aktualnym środowiskiem [...]), tym samym prace wykonywane przez [...] sp. z o.o. nie były w pełni zakończone - trwał proces testów i zasilania nowoutworzonej bazy danymi. Pismem z dnia [...] kwietnia 2021 r. [...] sp. z o.o. wskazał m.in., że [...] nie konsultował z [...] sp. z o.o. wdrożenia zmian w oprogramowaniu. [...] sp. z o.o. podniósł ponadto, że [...], zgłosił problem w działaniu oprogramowania "[...] [...]" i oczekiwał jego rozwiązania. [...] sp. z o.o. znając techniczną przyczynę przystąpił do rozwiązania problemu, a [...] nie "konsultowało w tym przypadku technicznego sposobu i detali zmian w oprogramowaniu".
Powyższe wskazuje na brak wdrożenia należytego zabezpieczenia w zakresie ochrony danych osobowych. Wynikiem tego było pozyskanie tych danych osobowych przez podmiot nieuprawniony (w tym danych Pani E. K.).
W sprawie będącej przedmiotem rozpoznania przez Sąd nie chodzi o ustalenie stopnia wadliwości zabezpieczeń technicznych stosowanych przez [...] sp. z o.o.. Niezależnie od tego, iż powyższe ustalenia wymagałby wiedzy specjalistycznej, co jest możliwe jedynie w trybie postępowania administracyjnego przed Prezesem UODO (np. poprzez dopuszczenie dowodu z opinii biegłego), to w przedmiotowej sprawie takie ustalenia byłyby bezprzedmiotowe. Przy barku zabezpieczenia w środowisku, na pewnym etapie dane nie były w żaden sposób chronione. Natomiast dwa nieuprawnione połączenia wskazywały na kopiowane bazy danych o rozmiarze około 5 MB (pierwsze połączenie) oraz 11 GB (drugie połączenie). Przy braku wdrożenia przez [...] tzw. analizy ryzyka ww. Spółka przyczyniły się do zwiększenia ryzyka "wycieku" danych osobowych. Brak opracowania mechanizmów dotyczących tego typy sytuacji "awaryjnych" w zakresie współpracy pomiędzy Spółką [...] (Administratorem) a [...] sp. z o.o. stanowi o odpowiedzialności Spółki [...]. Należy przy tym jeszcze raz podkreślić, iż [...] sp. z o.o. wskazywał, że [...], zgłosił problem w działaniu oprogramowania "[...] [...]" i oczekiwał jego rozwiązania. [...] sp. z o.o. znając techniczną przyczynę przystąpił do rozwiązania problemu, a [...] nie "konsultowało w tym przypadku technicznego sposobu i detali zmian w oprogramowaniu".
W ocenie Sądu, istota sprawy sprowadza się do ustalenia czy w [...] podjęło właściwe środki zaradcze celem zabezpieczenia przed możliwością "wycieku" danych. Administrator powinien wykazać prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń). W przedmiotowej sprawie Administrator takiej analizy ryzyka nie przeprowadził. Należy podzielić stanowisko zawarte w wyroku WSA w Warszawie z dnia 01.07.2022r., sygn. akt II SA/Wa 3211/21, że RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są do zapewnienia wdrażania organizacyjnych i technicznych środków bezpieczeństwa, jak również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.
Należy podzielić stanowisko Prezesa UODO, iż zgodnie z motywem 39 rozporządzenia [...], dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. W związku z tym należało się do ww. naruszenia odnieść w treści uzasadnienia decyzji, gdyż ten fakt spowodował przetworzenie danych osobowych Skarżącej, tj. ich ujawnienie i to ono było przedmiotem postępowania. Podstawą badania ujawnienia było za znalezienie podstawy prawnej takiego przetworzenia, której - zgodnie z ustaleniami Prezesa UODO - nie było. W związku z powyższym. Prezes UODO był zobligowany do odniesienia się do naruszenia zasady poufności przez Spółkę, której skutkiem było kwestionowane przetworzenie, tj. ujawnienie danych osobowych Skarżącej i tak też określił podstawę prawną zarówno w sentencji, jak i uzasadnieniu decyzji (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f).
Prawidłowa jest również wykładnia Prezesa UODO wskazująca, iż takie sytuacje trzeba kwalifikować jako uzyskanie, niezgodnie z prawem, dostępu do danych osobowych (D.Lubasz, W.Chomiczewski, M.Czerniawski, P.Drobek, U.Góral, M.Kuba, P.Makowski, K.Witkowska-Nowakowska, art. 4 (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, pkt 16). Istotnie, w przedmiotowej sprawie nie doszło do złamania zabezpieczeń, lecz do ich niezastosowania polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych, tym samym zaś na umożliwieniu dostępu do nich i finalnie ich ujawnieniu, a więc przetworzeniu. Zgodnie bowiem z art. 4 pkt 2 rozporządzenia [...], "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, m.in. taką jak przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie.
Tak jak wskazał Prezes UODO, Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia [...]poprzez ujawnienie danych osobowych podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum. W związku z powyższym, Prezes UODO na podstawie w art. 58 ust. 2 lit. b rozporządzenia [...] był uprawniony do tego aby udzielić Spółce upomnienia.
Rozpoznając skargę wniesioną w niniejszej sprawie w ramach przysługującej kognicji, Sąd uznał zatem, że skarga nie jest zasadna, gdyż zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego, postępowanie administracyjne zostało bowiem przeprowadzone zgodnie z zasadami ogólnymi k.p.a., a w szczególności art. 7, art. 8, art. 11 k.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 k.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
Mając powyższe na względzie Sąd na podstawie art. 151 p.p.s.a. oddalił skargę.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 15.07.2026. · Źródło